Laut einer gemeinsamen Erklärung der Behörden nahm das Botnetz 911 S5 im Mai 2014 seinen Betrieb auf und wurde im Juli 2022 abgeschaltet, bevor es im Oktober 2023 unter dem Namen Cloudrouter wieder auftauchte.

911 S5 ist möglicherweise der weltweit größte Residential-Proxy-Dienst und das größte Botnetz, bei dem über 19 Millionen IP-Adressen in mehr als 190 Ländern kompromittiert wurden und Schäden in Milliardenhöhe entstanden sind.

Die Behörden haben mehrere illegale, kostenlose VPN-Anwendungen identifiziert, die dazu dienen, eine Verbindung zum 911 S5-Dienst herzustellen, darunter MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN und ShineVPN.

Beim Herunterladen dieser VPN-Apps werden Nutzer ungewollt Opfer des 911 S5-Botnetzes. Diese Proxy-Hintertüren ermöglichen Kriminellen Straftaten wie Bombendrohungen, Finanzbetrug, Identitätsdiebstahl und Kindesmissbrauch. Durch die Nutzung dieser Hintertüren erscheint es so, als kämen diese illegalen Aktivitäten vom Gerät des Opfers.

Um herauszufinden, ob Sie ein Opfer des 911 S5 Botnetzes sind, können Leser den unten stehenden Anweisungen des FBI folgen.

1. Drücken Sie die Tasten Strg + Alt + Entf auf Ihrer Tastatur und wählen Sie Task-Manager aus, oder klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie Task-Manager aus.

2. Sobald der Task-Manager gestartet ist, suchen Sie unter der Registerkarte „Prozesse“ nach: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Beispiele für ShieldVPN und ShieldVPN SVC im Einsatz.

Falls der Task-Manager keinen der oben genannten Dienste erkennt, überprüfen Sie das Startmenü auf Spuren von Software mit den Bezeichnungen „MaskVPN“, „DewVPN“, „ShieldVPN“, „PaladinVPN“, „ProxyGate“ oder „ShineVPN“.

3. Klicken Sie auf die Schaltfläche „Start“ unten links auf dem Bildschirm und suchen Sie dann nach den folgenden Namen: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Falls Sie VPN-Anwendungen erkennen, finden Sie das Deinstallationsprogramm weiter unten. Klicken Sie auf „Deinstallieren“.

wjftx1tp.png

5. Falls die App keine Deinstallationsoption bietet, befolgen Sie diese Schritte:

a. Klicken Sie auf das Startmenü und geben Sie „Programme hinzufügen oder entfernen“ ein, um das Menü „Programme hinzufügen oder entfernen“ zu öffnen.

b. Ermitteln Sie den Namen der schädlichen Anwendung. Sobald Sie sie gefunden haben, klicken Sie auf den Namen der Anwendung und wählen Sie „Deinstallieren“.

c. Anschließend können Sie dies überprüfen, indem Sie auf Start klicken und Datei-Explorer eingeben.

d. Klicken Sie auf Laufwerk C und wählen Sie „Programme (x86)“. Suchen Sie hier in der Liste der Dateien und Ordner nach dem Namen der schädlichen Anwendung.

ve7wimy4.png

e. Gehen Sie mit ProxyGate zu "C:\users\[Userprofile]\AppData\Roaming\ProxyGate".

f. Falls Sie keine Ordner mit den Bezeichnungen "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" oder "Proxygate" sehen, sind diese Anwendungen möglicherweise nicht installiert.

g. Wenn ein Dienst als aktiv erkannt wird, aber nicht im Startmenü oder unter „Programme hinzufügen/entfernen“ gefunden wird:

Wechseln Sie in das in den Abschnitten 5d und 5e beschriebene Verzeichnis.

Öffnen Sie den Task-Manager.

Wählen Sie im Prozess-Tab den Dienst aus, der mit einer der laufenden schädlichen VPN-Anwendungen verknüpft ist.

Wählen Sie „Task beenden“ , um die Anwendung zu stoppen. Klicken Sie anschließend mit der rechten Maustaste auf den Ordner mit dem Namen „MaskVPN“, „DewVPN“, „ShineVPN“, „ShieldVPN“, „PaladinVPN“ oder „ProxyGate“ und wählen Sie „Löschen“. Alternativ können Sie auch alle Dateien im Ordner auswählen und „Löschen“ wählen.

hucrau1l.png

Wenn beim Versuch, einen Ordner oder alle Dateien in einem Ordner zu löschen, eine Fehlermeldung angezeigt wird, stellen Sie sicher, dass Sie alle Prozesse im Windows Task Manager beendet haben, wie in Schritt 5g beschrieben.

(Laut FBI)