3
Malware QakBot
Hallo,
gestern abend habe ich aus einer seriöse Quelle eine Word-Datei mit der malware "QakBot" heruntergeladen und die url's extrahiert. Mit VBA und Powershell wird eine "555...png" heruntergeladen, die aber mit den "magic-bytes" MZ beginnt.
Eine DNS-Anfrage führte bei einer der url's zu einem großen deutschen Anbieter. Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware immer noch verfügbar.
Da kam ich auf die Idee das BKA zu informieren. Eine Telefonnummer und email-Adresse wurde zwar angegeben, aber ich fand keinen Weg, anaonym zu berichten. (Bei einer internationationen Gruppe ging das einfach)
Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
Wie berichtet ihr, wenn ihr malware entdeckt?
gestern abend habe ich aus einer seriöse Quelle eine Word-Datei mit der malware "QakBot" heruntergeladen und die url's extrahiert. Mit VBA und Powershell wird eine "555...png" heruntergeladen, die aber mit den "magic-bytes" MZ beginnt.
Eine DNS-Anfrage führte bei einer der url's zu einem großen deutschen Anbieter. Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware immer noch verfügbar.
Da kam ich auf die Idee das BKA zu informieren. Eine Telefonnummer und email-Adresse wurde zwar angegeben, aber ich fand keinen Weg, anaonym zu berichten. (Bei einer internationationen Gruppe ging das einfach)
Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
Wie berichtet ihr, wenn ihr malware entdeckt?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 603153
Url: https://administrator.de/contentid/603153
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Nicht anonym, sondern mit Klarnamen.
lks
PS: Man kann recht einfach mit email anonym oder nur pseudonym kommunizieren, wenn man sich einfach eine wegwerf-mailadresse für diesen einen Zweck anlegt.
Hallo,
Wo steht den geschrieben dass das über Nacht passieren muss ?
Manchmal dauert das einfach ...
brammer
Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware
immer noch verfügbar.
immer noch verfügbar.
Wo steht den geschrieben dass das über Nacht passieren muss ?
Manchmal dauert das einfach ...
brammer
Zitat von @Fennek11:
Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
Könnte man erwarten, ist aber nicht so.Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
In der Regel schreiben die Hoster nur ihren Kunden an mit einem "Abuse".
Dieser kann schlicht antworten "Trifft nicht zu" und das war es.
Mehr machen die nur wenn es den Anbieter direkter betrifft.
Heisst viel Traffic oder viele Abuses. Sonst passiert da gar nichts.
Ich schreibe in der Regel den Hoster und den Webseitenbetreiber an.
Dazu trage ich die IP hier ein. https://www.abuseipdb.com/
Wobei das mit IPv6 ja witzlos wird.
Stefan
