Skip to main content

Zijn er andere KPN klanten die ook ongeveer elke week een e-mail krijgen van KPN Abuse dat er een virus in het netwerk is gedetecteerd? Bij navragen zou dit op een van mijn iOS apparaten zitten (AdLoad). De suggesties in de opvolgende mail om het op te lossen werken ongeveer een week, en daarna is het weer raak. Resetten van mijn telefoon wil ik niet meer doen, dat kost elke keer een hele dag om weer op de rit te zijn.
De afdeling kan of wil mij op geen enkele manier helpen te onderzoeken waar het probleem door ontstaat. Ik heb alleen maar legale apps, geen jailbreak toestanden en Avast Internetsecurtity aangeschaft voor al mijn apparaten.
Nu wordt mij gevraagd om een verklaring waarom dit misbruik steeds terugkeert, maar ik heb echt geen idee wat er aan de hand is, en ik ben bepaald geen digibeet. Iemand een tip om in contact te komen met een weldenkend mens op die afdeling? Het begint mij enorm te irriteren om elke week uit te leggen dat ik alles heb gedaan waar ze om vragen.

Is allemaal al gedaan….


Maar fijn dat je meedenkt!


Kan jij het Abuse report met ons delen?

Wel even jouw eigen IP adres wegpoetsen.


Herstel, ik stuur het voorblad even, zie bijlage

Ik heb dit keer een .csv bestand gekregen, met heel veel IP adressen van andere gebruikers (foei KPN afdeling abuse!) dus dat ga ik niet delen.

 


VPNservices…..

Komt een dergelijke VPN-app je bekend voor? Vaak wordt dit gebruikt in het bedrijfsleven, maar het kan ook de reden zijn van virussen en malware, al ga ik hier niet van uit, en verwacht dat het een 'false-positive’ is.
 


welke app bedoel je?

VPNservices…..

Komt een dergelijke VPN-app je bekend voor? Vaak wordt dit gebruikt in het bedrijfsleven, maar het kan ook de reden zijn van virussen en malware, al ga ik hier niet van uit, en verwacht dat het een 'false-positive’ is.

 


Er zijn 1.001 VPN-apps. Zegt dit je iets? Misschien in het bedrijfsleven?
Een app voor toegang tot het netwerk van het werk?

Tegelijkertijd zie ik ook wat mogelijke verontruste dingetjes:
https://www.google.com/search?q=vpnservices.live

Vooral dit lijkt mij toch duidelijk te maken dat het een serieuze AdLoader is:
https://www.helpnetsecurity.com/2023/08/14/macos-adload-proxy/


oh zo bedoel je. Ik heb alleen webshield van Avast aan staan, die zet een VPN configuratie in je iPhone. Overigens op aanraden van KPN deze app geinstalleerd.

 


Overigens gaan jouw searches wederom allemaal over MacOS X. Mijn macs scan ik regelmatig op virussen, al jaren. Met ClamXAV en dat ontvangt dagelijks nieuwe virusdefs. Ik kan mijn Macs zeker uitsluiten in dit verhaal, want dat is altijd het eerste wat ik doe als ik weer eens een klacht krijg van KPN.
Over de infecties van iOS apparaten lijkt echt heel weinig bekend te zijn. De enige resultaten die ik daar op krijg zijn mijn eigen meldingen en vragen.


@SaZzM., Zou je dat Abuse report nog een keer kunnen delen maar nu met het target IP nummer zichtbaar.

Die vpnservices.live lijkt inderdaad te duiden op een Adload infectie.


 


Ik heb dit keer een .csv bestand gekregen, met heel veel IP adressen van andere gebruikers (foei KPN afdeling abuse!) dus dat ga ik niet delen.

Dat was inderdaad erg slordig en niet nodig, waarvoor excuses. Daar wil ik dan wel bij zeggen dat het slechts ip-adressen zijn die erin staan, wat niet herleidbare persoonsgegevens zijn, en volgens mij is de brondata ook openlijk beschikbaar, maar het had beter gekund, dat sowieso.

Verder bijzonder vervelend om te zien dat het toch weer terug gekomen is, ik had toch even de stille hoop dat het nu eindelijk echt opgelost zou zijn. Het lastige is nu dat de Apple expert (wat ik dus zeker niet ben, en mijn collega's ook niet) ook al enorme moeite heeft om dit probleem te vinden. Nu zijn er zo te zien al een aantal mensen in dit topic die mogelijk wat informatie kunnen hebben over waar zoiets vandaan zou kunnen komen, maar misschien is het ook wel mogelijk om voor dit soort zaken Apple zelf te benaderen? Hebben zij wellicht bepaalde ingangen voor klanten?


@Raymondt, Is het 100% zeker dat het een iOS apparaat betreft of zou het ook een MacOS apparaat kunnen zijn die zich voordoet als iOS apparaat?


Ha Raymondt,

Bij Apple krijg je 1 jaar apple care, en ik ben bang dat mijn iPhone daar al voorbij is. Maar ik kan het proberen. Ik verwacht er alleen heel weinig van...


@Raymondt, Is het 100% zeker dat het een iOS apparaat betreft of zou het ook een MacOS apparaat kunnen zijn die zich voordoet als iOS apparaat?

Dat vroeg mijn Apple expert zich ook af. Vandaar het uitschakelen van de extra WiFi router. Ik heb overigens geen op het internet aangesloten Air Fryer en dat soort spul.


@Raymondt, Is het 100% zeker dat het een iOS apparaat betreft of zou het ook een MacOS apparaat kunnen zijn die zich voordoet als iOS apparaat?

Dat vroeg mijn Apple expert zich ook af. Vandaar het uitschakelen van de extra WiFi router. Ik heb overigens geen op het internet aangesloten Air Fryer en dat soort spul.

Ik zit eerder te denken aan jouw Macs.


Zie m’n eerdere post...


@Raymondt, Is het 100% zeker dat het een iOS apparaat betreft of zou het ook een MacOS apparaat kunnen zijn die zich voordoet als iOS apparaat?

we zien in onze meldingen de gevallen met ios en mac os wel los van elkaar, dus ik ga er wel vanuit (gevaarlijk, ik weet het) dat de aanduiding wel klopt.


@Raymondt, Is het 100% zeker dat het een iOS apparaat betreft of zou het ook een MacOS apparaat kunnen zijn die zich voordoet als iOS apparaat?

we zien in onze meldingen de gevallen met ios en mac os wel los van elkaar, dus ik ga er wel vanuit (gevaarlijk, ik weet het) dat de aanduiding wel klopt.

Het zou natuurlijk best slim zijn van die "hackers" om net te doen alsof het een ander soort apparaat betreft zodat de bron lastiger op te sporen is. En als een nieuwe variant van de malware dan ook nog niet gesignaleerd wordt door de virusscanner op MacOS dan wordt de overlevingskans van de malware weer een stukje groter.


Wat grappig net, gisteren in dat onderzoek naar die AdLoader klikte ik per ongeluk naar die URL (gaf no content, wat ik online al onderzocht had), en opeens kreeg ik vanmorgen een mail van KPN met daarin:

-----------

Wat is er aan de hand?

Een computer/laptop op je internetverbinding is besmet met het Trojan.Adload virus. Dit virus doet zich voornamelijk voor op Apple computers. Door deze besmetting lopen je vertrouwelijke gegevens en bestanden gevaar.

Etc..…

----------------

Blijkbaar scant KPN dus welke sites ik benaderd heb. Klopt dat @Raymondt ?

En de enige Apples hier in huis zijn rond en liggen in de fruitschaal. 😉


Ik kan me heel goed voorstellen dat KPN een lijst van verdachte IP adressen bijhoudt en een alarmbel laat afgaan bij verkeer dat aan een IP adres uit die lijst gericht is.

Het kan natuurlijk ook dat dit niet op IP adres werkt maar dat bij het resolven van het domein door de DNS server van KPN de alarmbel gaat rinkelen.

 

Wel interessant dat je de monitoring van KPN zo eenvoudig "false-positives" kan laten genereren.

Moet je nu ook allerlei acties gaan ondernemen van de Abuse team of blijft het bij een "waarschuwing"?


Tot nu toe een waarschuwing, en dat ik moet gaan scannen, en daar opnieuw contact opnemen.

Maar stel dat een grapjoker zo een malicious website invoegt op een andere website. Dan krijgt KPN Abuse het nog druk, vrees ik..…

Maar goed, KPN Abuse heeft mail, met ticketnummer: #381169808

En mijn Android is overigens clean.


Zat er bij die mail ook een "Abuse report"?

Zo ja, kan je hier eens een screenshot posten van dat "Abuse report" waarbij je het source IP adres even wegpoetst?


Zat er bij die mail ook een "Abuse report"?

Zo ja, kan je hier eens een screenshot posten van dat "Abuse report" waarbij je het source IP adres even wegpoetst?

Nee, geen report…

Overigens kon je bij XS4ALL vroeger een graadmeter instellen, die je tegen malware beschermt. Als deze bestond was die site vast ongetwijfeld geblokkeerd geweest. 

Alleen jammer dat KPN niet meer zoiets heeft. Je blokkeert dan URL's die de klanten dan weer vrijkunnen geven. En dat mag wettelijk gewoon. Nu gaat alles naar het bordje van de Abuse-afdeling. Ik hoop dat er ooit verandering in komt. En anders wil ik er binnenkort wel over praten, omdat ik recentelijk uitgenodigd ben op hun kantoor. 😉


Zat er bij die mail ook een "Abuse report"?

Zo ja, kan je hier eens een screenshot posten van dat "Abuse report" waarbij je het source IP adres even wegpoetst?

Nee, geen report...

Jammer, ik was benieuwd naar het "device_type".