收到来自 ISP 的电子邮件,说我的一台设备有恶意软件

信息安全 电子邮件 僵尸网络 网络服务商
2021-08-09 01:51:07

我父亲收到了一封来自我们的 ISP ( mtnl.net.in ) 的可疑电子邮件。该电子邮件来自 noreply@mtnl.net.in,并且在电子邮件中包含我们的用户 ID(我将其屏蔽为 xxxxxxxx@a),因此它一定来自 ISP 本身。

电子邮件详细信息如下:

主题:

“关于恶意软件/病毒感染系统的提示”

身体:

尊敬的先生/女士,您好

观察到您的设备与宽带号 xxxxxxxx@a 连接的 MTNL Mumbai 宽带网络感染了恶意软件。这是根据电子和信息技术部下属的计算机应急响应小组 - 印度 (Cert-IN) 的分析。
恶意软件 (CNC) 是在用户上网时未经用户同意安装在用户系统中的不需要的软件。攻击者或网络犯罪分子可以远程向受到恶意软件攻击的系统发送命令。这些受感染的机器可用于创建受感染设备的强大网络(僵尸网络),这些设备能够执行分布式拒绝服务 (DDoS) 攻击、窃取数据、删除数据或加密数据,以实施勒索计划。由于安装了恶意软件/病毒,该设备成为僵尸网络的一部分。
为了保护您的设备,请使用防病毒软件检查您的设备是否存在恶意软件/僵尸网络。
有关恶意软件/僵尸网络和对策的更多信息,请访问https://www.cyberswachhtakendra.gov.in. 您还可以下载“免费僵尸网络清除工具”。
感谢和热烈的问候,
MTNL,孟买

我从电子邮件中提取了所有链接,并通过https://www.virustotal.com/ URL 扫描程序对其进行了扫描,但所有链接都被报告为安全的。

链接:

在网上看Quora上有一个类似的问题,但情况不同。

家庭网络

  • 两部手机(安卓
  • 一台笔记本电脑(装有 Avira 防病毒软件的 Windows 10

问题:

  • ISP 真的可以检测到这一点吗?

  • 我应该对此采取行动吗?我应该怎么做?

回答一些问题:

  • 只有上述 3 台设备连接到 wifi,没有其他 IoT 设备。
  • 我的父母是唯一的用户......所以你可以排除 TOR 浏览器或任何不适当的搜索。
  • 网络上也没有虚拟机。
  • 我会尝试联系 ISP,但他们是政府机构,支持很差。

此外,在进行了更多研究之后,似乎 Quick Heal 与 MTNL 和 BSNL 这两个政府提供商都有联系,因此他们有可能只是在推广 Quick Heal。

链接:Link1 Link2 Link3

个人说明:我觉得很奇怪 MTNL 居然不厌其烦地寻找机器人!

4个回答

ISP 真的可以检测到这一点吗?

ISP 可以看到您的系统与互联网交换的所有数据(但不能看到来自加密数据的纯文本)。基于此,他可以检测到通常表现出典型行为的僵尸网络。

我应该对此采取行动吗?该怎么办?

是的,您应该对此采取行动,因为您的网络中似乎存在用于干扰 Internet 上其他系统的恶意软件(发送垃圾邮件、DDoS 攻击、用作 VPN 以隐藏恶意活动和其他),并且还可能影响您的内部网络(感染计算机,窃取数据,以数据作为赎金......)。

如果您不解决问题,您还可能面临 ISP 限制您的网络甚至完全断开您与 Internet 的连接的风险(取决于服务条款)。

根据您提供的信息,无法确切地说出问题所在。可能是您的笔记本电脑被感染(防病毒软件不提供 100% 保护),或者您的一部手机或路由器本身受到感染。它也可能是您网络中您不真正了解的其他设备,例如电视、打印机、IP 摄像头或其他物联网设备。它也可能是由您自己安装的软件引起的,但该软件具有您不知道的隐藏恶意功能。

他们在邮件中提供的链接似乎很好,因此您可以按照这些链接获取更多信息以及提供的僵尸网络删除工具。但是,如果您对邮件是否真的来自您的 ISP 有疑问,请联系 ISP - 根据所提供的信息,我们不可能看到邮件的真正来源是什么。

这看起来像是一封合法的电子邮件。

有人检测到具有印度 IP 地址的计算机是僵尸网络的一部分。这是与您的国家 CERT (CERT-In) 共享的。反过来,由于他们在检测到该 IP 地址时不知道哪个用户拥有该 IP 地址,因此他们通知了您的 ISP,后者又找出了负责该连接的客户并将该通知转发给您的父亲。

如您所见,他们将您指向一个由 CERT-In 在https://www.cyberswachhtakendra.gov.in/上建立的僵尸网络票据交换所

我从该通知中错过的部分是他们没有提及连接发生的时间。

如果您想验证他们的声明或获取更多信息,我建议您直接与 CERT-In 联系(https://cert-in.org.in/上的联系我们链接提供了他们的电子邮件地址)。

我错过了他们向您发送检测到恶意行为的时间或至少您当时拥有的 IP 地址的通知,这将使他们很难找出他们发出的数百个类似警报中的一个是你父亲收到的那个。尽管如果您有一段时间使用相同的 IP 地址,他们很可能会找到您当前 IP 地址的事件(您必须在请求中将其提供给他们)。

鉴于 - 据说 - 在那个家里只有一台电脑和两部手机,我怀疑受感染的设备是笔记本电脑,所以我会先在那里运行他们在Cyber​​ Swachhta Kendra上推荐的 Bot Removal Tool进行消毒,因为它应该能够对他们警告的恶意软件进行消毒。如果它什么也没发现,请CERT-In 询问更多详细信息。

您收到邮件的电子邮件地址似乎是真实的。邮件的正文也增加了真实性。但是,发件人的电子邮件地址可以通过使用开放邮件中继来欺骗。根据电信部的规定,必须封锁 25 端口以减少欺骗的表面积,但仍有许多开放式中继仍然存在。

要确认邮件的真实性,请复制标头并查看原始 SMTP 服务器的信誉评分。参考在线工具,分析来源后不要忘记从本站删除您的标题。

或者,您可以致电您的 ISP 以确认邮件的真实性。

现在,如果您的 ISP 确实已将这封邮件发送给您,请您按照以下步骤解决问题。

  • 在笔记本电脑上启动完整的恶意软件扫描。您可以使用这些反恶意软件Trendmicro House callMalwareBytesAvast中的任何一种。扫描完成后,删除检测到的文件(如果有)。
  • 安装工具Process Explorer以查看笔记本电脑上正在运行的进程。您在此工具中有一个非常好的选择来检查正在运行的进程是否针对Virustotal(60 多种反恶意软件)恶意如果有任何进程被标记为恶意,请将其杀死,在本地驱动器上打开其位置并将其删除。
  • 检查任何您不知道或对您来说似乎可疑的最近安装的应用程序。
  • 使用反恶意软件移动应用程序对您的手机进行恶意软件扫描
  • 向您的 ISP 报告上述步骤的结果,并询问他们是否仍然看到任何僵尸网络连接。

希望以上内容可以解决您的问题,如果没有,至少您可以让您的 ISP 在检测恶意软件的根本原因方面领先一步。

你应该认真对待这封邮件。

没有理由不调查您的网络是否存在恶意软件。(您无需为此单击他们的链接或下载他们的工具,从信誉良好的来源中找到您自己的链接或先对其进行调查。)

我可以在邮件中看到的唯一可疑信息是遗漏了特定的威胁/恶意软件。这使得普通最终用户很难找到并删除它。

尽管如此,我相信这是合法的。

由于邮件引用了 Cert-IN ( https://cert-in.org.in/ ),您可以在他们的网站上查看最近的警报,他们的邮件可能引用了最近发现的威胁,因此您可以查找这些。

既然您说“设备已连接到wifi,那么您的任何设备都没有被感染的可能性很小……但如果是这种情况,您仍然会遇到问题。

为什么他们会不厌其烦地通知你?

从历史上看,ISP 对此非常松懈,但随着恶意软件和僵尸网络成为日益严重的威胁,国际社会正变得更加有力地要求 ISP 通知和敏感他们的客户,或者自己受到坏名声的影响。

为什么他们会不厌其烦地寻找机器人?

通常,不是 ISP 发现机器人,而是一些恶意软件分析师和调查人员(例如 Cert-IN)跟踪 C&C(命令和控制)服务器基础设施或机器人通信,然后找到受感染的对等方并通知 ISP这些 IP 地址,然后他们拥有能够通知其客户的信息(ISP 客户查找的 IP 地址)。

您可以阅读恶意软件分析师的一些有趣的博客文章,以更好地理解这一点:

其它你可能感兴趣的问题
上一篇现在通过电子邮件发送信用卡号码仍然不安全吗? 下一篇处理忘记验证帐户的最安全方法?