Laut einer gemeinsamen Mitteilung der Behörden nahm das Botnetz 911 S5 im Mai 2014 seinen Betrieb auf und wurde im Juli 2022 abgeschaltet, bevor es im Oktober 2023 unter dem Namen Cloudrouter „wiedergeboren“ wurde.

911 S5 ist möglicherweise der weltweit größte Residential-Proxy-Dienst und das größte Botnetz mit über 19 Millionen kompromittierten IP-Adressen in über 190 Ländern, wodurch Schäden in Milliardenhöhe verursacht wurden.

Die Behörden identifizierten kostenlose, illegale VPN-Apps, die zur Verbindung mit dem Dienst von 911 S5 entwickelt wurden, darunter: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN und ShineVPN.

Beim Herunterladen dieser VPN-Apps werden Nutzer unwissentlich Opfer des 911 S5-Botnetzes. Diese Proxy-Hintertüren ermöglichen es Kriminellen, Straftaten wie Bombendrohungen, Finanzbetrug, Identitätsdiebstahl, Kindesmissbrauch usw. zu begehen. Durch die Nutzung der Proxy-Hintertüren erscheint es so, als kämen die illegalen Aktivitäten vom Gerät des Opfers.

Um herauszufinden, ob Sie ein Opfer des 911 S5 Botnetzes sind, können Leser den unten stehenden Anweisungen des FBI folgen.

1. Drücken Sie Strg + Alt + Entf auf der Tastatur und wählen Sie Task-Manager aus oder klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie Task-Manager aus.

2. Sobald der Task-Manager gestartet ist, suchen Sie unter der Registerkarte „Prozesse“ nach: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Beispiel für ShieldVPN und ShieldVPN Svc in Aktion.

Falls der Task-Manager keinen der oben genannten Dienste erkennt, suchen Sie im Startmenü nach Spuren von Software mit den Bezeichnungen „MaskVPN“, „DewVPN“, „ShieldVPN“, „PaladinVPN“, „ProxyGate“ oder „ShineVPN“.

3. Klicken Sie auf die Schaltfläche „Start“ unten links auf dem Bildschirm und suchen Sie dann nach den folgenden Namen: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Falls Sie eine der VPN-Apps erkennen, finden Sie das Deinstallationsprogramm weiter unten. Klicken Sie auf „Deinstallieren“.

wjftx1tp.png

5. Falls die App keine Deinstallationsoption bietet, befolgen Sie diese Schritte:

a. Klicken Sie auf das Startmenü und geben Sie „Programme hinzufügen oder entfernen“ ein, um das Menü „Programme hinzufügen oder entfernen“ zu öffnen.

b. Ermitteln Sie den Namen der schädlichen Anwendung. Sobald Sie ihn gefunden haben, klicken Sie auf den Anwendungsnamen und wählen Sie „Deinstallieren“.

c. Anschließend können Sie dies überprüfen, indem Sie auf Start klicken und Datei-Explorer eingeben.

d. Klicken Sie auf Laufwerk C und wählen Sie „Programme (x86)“. Suchen Sie dort in der Liste der angezeigten Dateien und Ordner nach dem Namen der schädlichen Anwendung.

ve7wimy4.png

e. Gehen Sie mit ProxyGate zu "C:\users\[Userprofile]\AppData\Roaming\ProxyGate".

f. Falls Sie keine Ordner mit den Bezeichnungen "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" oder "Proxygate" sehen, sind diese Apps möglicherweise nicht installiert.

g. Wenn ein Dienst als aktiv erkannt wird, aber nicht im Startmenü oder unter „Programme hinzufügen/entfernen“ gefunden wird:

Wechseln Sie in das in 5d und 5e beschriebene Verzeichnis.

Öffnen Sie den Task-Manager.

Wählen Sie im Prozess-Tab den Dienst aus, der mit einer der laufenden schädlichen VPN-Anwendungen verknüpft ist.

Wählen Sie „ Task beenden “, um die Anwendung zu stoppen. Klicken Sie anschließend mit der rechten Maustaste auf den Ordner mit dem Namen „MaskVPN“, „DewVPN“, „ShineVPN“, „ShieldVPN“, „PaladinVPN“ oder „ProxyGate“ und wählen Sie „Löschen“. Alternativ können Sie auch alle Dateien im Ordner auswählen und „Löschen“ wählen.

hucrau1l.png

Wenn beim Versuch, einen Ordner oder alle Dateien in einem Ordner zu löschen, eine Fehlermeldung angezeigt wird, stellen Sie sicher, dass Sie alle Prozesse im Windows Task Manager beendet haben, wie in Schritt 5g beschrieben.

(Laut FBI)