Malware QakBot

Mitglied: Fennek11

Fennek11 (Level 1) - Jetzt verbinden

09.09.2020 um 10:15 Uhr, 350 Aufrufe, 3 Kommentare

Hallo,

gestern abend habe ich aus einer seriöse Quelle eine Word-Datei mit der malware "QakBot" heruntergeladen und die url's extrahiert. Mit VBA und Powershell wird eine "555...png" heruntergeladen, die aber mit den "magic-bytes" MZ beginnt.

Eine DNS-Anfrage führte bei einer der url's zu einem großen deutschen Anbieter. Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware immer noch verfügbar.

Da kam ich auf die Idee das BKA zu informieren. Eine Telefonnummer und email-Adresse wurde zwar angegeben, aber ich fand keinen Weg, anaonym zu berichten. (Bei einer internationationen Gruppe ging das einfach)

Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.

Wie berichtet ihr, wenn ihr malware entdeckt?
Mitglied: Lochkartenstanzer
09.09.2020, aktualisiert um 10:20 Uhr
Zitat von Fennek11:

Wie berichtet ihr, wenn ihr malware entdeckt?

Nicht anonym, sondern mit Klarnamen.

lks

PS: Man kann recht einfach mit email anonym oder nur pseudonym kommunizieren, wenn man sich einfach eine wegwerf-mailadresse für diesen einen Zweck anlegt.
Bitte warten ..
Mitglied: brammer
09.09.2020 um 14:14 Uhr
Hallo,

Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware
immer noch verfügbar.

Wo steht den geschrieben dass das über Nacht passieren muss ?
Manchmal dauert das einfach ...

brammer
Bitte warten ..
Mitglied: StefanKittel
10.09.2020, aktualisiert um 07:37 Uhr
Zitat von Fennek11:
Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
Könnte man erwarten, ist aber nicht so.
In der Regel schreiben die Hoster nur ihren Kunden an mit einem "Abuse".
Dieser kann schlicht antworten "Trifft nicht zu" und das war es.

Mehr machen die nur wenn es den Anbieter direkter betrifft.
Heisst viel Traffic oder viele Abuses. Sonst passiert da gar nichts.

Ich schreibe in der Regel den Hoster und den Webseitenbetreiber an.

Dazu trage ich die IP hier ein. https://www.abuseipdb.com/
Wobei das mit IPv6 ja witzlos wird.

Stefan
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT