ISPから、私のデバイスの1つにマルウェアが含まれているというメールを受け取った

ISPはこれを本当に検出できますか？

ISPは、システムがインターネットと交換するすべてのデータを表示できます（暗号化されたデータのプレーンテキストは表示できません）。これに基づいて、彼はしばしば典型的な振る舞いを示すボットネットを検出できます。

これに対処する必要がありますか？

はい。インターネット上の他のシステムを妨害する（スパムメールの送信、DDoS攻撃、悪意のある活動などを隠すためにVPNとして使用される）マルウェアがネットワークに影響を与える可能性があるため、これに対処する必要があります。内部ネットワーク（コンピューターに感染、データを盗む、データを身代金として受け取る...）.

問題を解決しないと、ISPがネットワークを制限したり、インターネットから完全に切断したりする可能性もあります（利用規約によって異なります）。

あなたが提供した情報に基づいて、正確に問題が何であるかを言うことは不可能です。それはあなたのラップトップが感染している（アンチウイルスは100％の保護を提供しない）、あなたの電話の1つ、またはルーター自体であるかもしれません。テレビ、プリンター、IPカメラ、その他のIoTデバイスなど、実際には気づいていないネットワーク内の他のデバイスの場合もあります。また、故意に自分でインストールしたソフトウェアが原因である可能性もありますが、このソフトウェアには、気付かない悪意のある機能が隠されています。

メールで提供されたリンクは問題ないようで、詳細および提供されているボットネット削除ツールについて、これらのリンクをたどることができます。ただし、メールが本当にISPから発信されたものかどうか疑わしい場合は、ISPに連絡してください。メールの実際の発信元が何であるかという情報に基づいて確認することは不可能です。

これは正当なメールのようです

誰かが、インドのIPアドレスを持つコンピュータがボットネットの一部であることを検出しました。これはあなたの国のCERT（CERT-In）と共有されました。次に、そのIPアドレスが検出されたときにどのユーザーがそのIPアドレスを持っているのかわからなかったため、ISPに通知し、ISPはその接続を担当している顧客を見つけて、その通知を父親に転送しました。

ご覧のように、CERT-Inが https://www.cyberswachhtakendra.gov.in/ に設定したボットネットクリアリングハウスを参照しています。

私がその通知から見落としているのは、接続がいつ起こったのかについて彼らが言及していないことです。

彼らの主張を確認したり、詳細情報を入手したい場合は、CERT-Inに直接連絡することをお勧めします（ https://cert-in.org.in/ の[お問い合わせ]リンクからメールアドレス）。

悪意のある動作が検出された時刻、または少なくともその時点でのIPアドレスが送信されたという通知を見逃しているため、を特定することは困難です彼らが送信した何百もの同様のアラートのうち、あなたの父親が受け取ったものです。しばらく同じIPアドレスを使用している場合でも、現在のIPアドレスのイベントを見つける可能性があります（リクエストでそれらを提供する必要があります） 。

その家では、おそらく1台のコンピューターと2台の携帯電話しかないため、感染したデバイスはラップトップであることが疑われます。そこで、まず、ボット駆除ツールを実行することから始めます Cyber​​ Swachhtaケンドラ 駆除用です。警告しているマルウェアを駆除できるはずです。そして、何も見つからなかった場合は、、CERT-Inに詳細を問い合わせます。

あなたがメールを受け取ったメールアドレスは本物であるようです。メールの本文も本物に追加されます。ただし、送信者のメールアドレスは open mail relays を使用してなりすますことができます。テレコム省によると、なりすましの表面積を減らすためにポート25をブロックする必要がありますが、まだ生きているオープンリレーがたくさんあります。

メールの信頼性を確認するには、ヘッダーをコピーして、送信元のSMTPサーバーのレピュテーションスコアを確認してください。 オンラインツールへの参照 、ソースを分析した後、このサイトからヘッダーを削除することを忘れないでください。

または、ISPに電話して、メールの信頼性を確認することもできます。

ISPから実際にこのメールが送信されている場合は、問題を軽減するために以下の手順に従ってください。

• ラップトップでマルウェアの完全スキャンを開始します。これらのマルウェア対策ソフトウェア Trendmicro House call 、 MalwareBytes 、 Avast のいずれかを使用できます。スキャンが完了したら、検出されたファイルがあれば削除します。
• ツール Process Explorer をインストールして、ラップトップで実行されているプロセスを確認します。このツールには、実行中のプロセスが Virustotal（60+マルウェア対策ソフトウェア） に対して悪意のあるものかどうかを確認する非常に優れたオプションがあります。悪意のあるフラグが付けられたプロセスがある場合は、それを強制終了し、ローカルドライブ上のその場所を開いて削除します。
• 気づいていない、または疑わしいと思われる最近インストールしたアプリケーションを確認します。
• マルウェア対策モバイルアプリケーションを使用して、スマートフォンのマルウェアもスキャンします
• 上記の手順の結果をISPに報告し、まだボットネット接続があるかどうかを尋ねます。

上記で問題が解決することを願っていますが、解決しない場合でも、少なくともISPがマルウェアの根本的な原因を検出するための第一歩を踏み出すことになります。

このメールは真剣に受け止めるべきです。

ネットワークでマルウェアを調査しない理由はありません。 （リンクをクリックしたり、そのためのツールをダウンロードしたりする必要はありません。信頼できるソースから自分のものを見つけるか、最初に調査する必要があります。）

メールで確認できる唯一の疑わしい情報は、特定の脅威/マルウェアの省略です。そのため、平均的なエ​​ンドユーザーにとって、その検索と削除は非常に困難になります。

それにもかかわらず、私はそれが合法であると信じています。

メールがCert-IN（ https://cert-in.org.in/ ）を参照しているため、Webサイトで最新のアラートを確認できるため、メールが 最近発見された脅威 なので、これらを探すことができます。

"デバイスはwifi"に接続されているため、わずかな可能性があります感染しているデバイスのいずれか...しかし、それが事実である場合でも、問題が発生します。

なぜ彼らはあなたに通知するのに手間がかかるのでしょうか？

歴史的に、ISPはこれについて非常に怠惰でしたが、マルウェアとボットネットが絶えず脅威になり、国際社会はISPを使用して顧客に情報を提供し、感化させたり、悪い評判を自分たちに課したりしています。

なぜボットを見つけるのに手間がかかるのでしょうか？

多くの場合、ボットを見つけるのはISPではありませんが、Cert-INなどの一部のマルウェアアナリストおよび調査者は、C＆C（コマンドアンドコントロール）サーバーインフラストラクチャまたはボット通信を追跡し、感染したピアを見つけてISPに通知しますそれらのIPアドレスのうち、顧客に通知できる情報（IPアドレスからISPの顧客への参照）を取得します。

マルウェアアナリストからの興味深いブログ投稿をいくつか読んで、これについて理解を深めることができます。

• https://www.malwaretech.com/2019/01/tracking-the-hide-and-seek-botnet.html
• https://www.malwaretech.com/2017/04/the-kelihos-botnet.html

これは冗談ですか？

これは100％悪意のあるメールです。

（あまりにも幸せな）言語、そして「ボットネット」が何であるかをユーザーに説明しようと試み、恐喝や暗号化などのランダムな恐ろしいことを投げかけ、次にユーザーに「無料のウイルス除去」ソフトウェアを検索して実行するように求めます。

うん、いい考えだ！ （いいえ、それはひどい考えです）。

その電子メールには、ブラックハットに役立つものは何もないため、ほぼ間違いなく合法です。他のシステムに感染しようとしている、または既知のボットネットコマンドアンドコントロールサーバーと通信しているシステム上に何かがあり、前者のシナリオがはるかに可能性が高いと思います。

電子メールseems合法。しかし、それは以前にISPまたは他のテクノロジー企業で働いていたかもしれない誰かによって書かれた可能性があります。そこのカスタマーサービスが悪いと言った場合、おそらく彼らに電話をかけて、そのメールを送信したかどうかを確認することはできません。

いずれにしても、メール内のリンクをクリックしないでください。システムのスキャンについては、上記の他の人のアドバイスに従ってください。慎重になるのはいい考えですが、個人的には合法ではないと思います。

ISPに電話して確認してください。それは彼らが正当にあなたのISPである場合に彼らが持っているべきあなたに関する個人化または情報のない未承諾の電子メールであるという事実だけで疑わしいように見えます。

マルウェアを追跡するために顧客のデバイスを監視する必要はありません。それは彼らの仕事ではありません。

ISPはこれを本当に検出できますか？

この質問に関する1つのコメント。 ISPが苦情を受け取り、加入者としてあなたに転送している可能性があります。

サーバーのログファイルで、php adminへのアクセスなど、疑わしいアクティビティがないか確認します。それを見ると、IPアドレスに基づいてISPの虐待部門に電子メールを送信するスクリプトがあります。電子メールには、IPアドレスに基づいて関連するログエントリが含まれます。私はISPに顧客を管理してもらい、私のマシンに侵入しようとするのをやめるように依頼します。

この場合、ISPは接続を監視していないか、セッションのMitMを実行していません。彼らは単に苦情に反応しています。

多分。しかし、そのリンクをクリックしないでください！

承知しました。ここの人々は詳細とすべてを通して地面を持っています合法的に見える.

しかし、これは有能なフィッシングにも当てはまります。 私たちは甘やかされてしまい、無能なフィッシングが頻繁に見られます。しかし、それについて言えば、メールの挨拶に注意してください-OPの正式名称はどこにありますか？あなたがXXXしたアカウント番号については、それはメールアドレスから導き出せるもののようです。

人々の信頼の大きな部分は、ペイロードが表示されないことです。表示されたURLはホバー/クリックURL ここではStackExchangeの切り貼りされたコピーと一致します。これは、StackExchangeがプレーンテキストのURLを確認してホットにしたためです。

私は、URLのリストを安全であると宣言するスキャナーに自信がありません。どうやって知るの？サイトのパスワードを知っているだけではクラッカーを検出できません。知るためのそのメカニズムは確かにいくらかの遅れを持っています。 Webサイトをハッキングした場合、メールを爆破する準備ができるまで、明らかな変更は行いません。

私はさらに一歩行きます。電子メールをこの程度まで分析することは、「スケーリング」しないため、価値がありません。すべてのメールにこのような精査をする余裕はありません。

ISPに連絡する-独立したチャネルを通じて

メールに記載されている連絡先情報は使用しないでください。個別に到着した連絡先情報を使用します。彼らの合法的なウェブサイトから。

文字は正しいかもしれません-かなり正しいである可能性があり、フォローアップする必要があります。 ISPは、a）合法であるかどうか、またはb）合法的な場合に予防策として（予防策として）どのような対策を講じるかを通知します。

IoTデバイスを忘れないでください

子供のおもちゃからスマートスイッチ、IPカメラまで何でも可能です。彼らの多くは実際に標準のIPを備えたミニUnixシステムを搭載しています。Wifiに乗れる場合、ハッキングされてインターネット上で悪意のある行為を行う可能性があります（通常のタスクの副活動として）。