fennek11
Goto Top

Malware QakBot

Hallo,

gestern abend habe ich aus einer seriöse Quelle eine Word-Datei mit der malware "QakBot" heruntergeladen und die url's extrahiert. Mit VBA und Powershell wird eine "555...png" heruntergeladen, die aber mit den "magic-bytes" MZ beginnt.

Eine DNS-Anfrage führte bei einer der url's zu einem großen deutschen Anbieter. Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware immer noch verfügbar.

Da kam ich auf die Idee das BKA zu informieren. Eine Telefonnummer und email-Adresse wurde zwar angegeben, aber ich fand keinen Weg, anaonym zu berichten. (Bei einer internationationen Gruppe ging das einfach)

Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.

Wie berichtet ihr, wenn ihr malware entdeckt?

Content-Key: 603153

Url: https://administrator.de/contentid/603153

Printed on: June 25, 2024 at 13:06 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Sep 09, 2020 updated at 08:20:00 (UTC)
Goto Top
Zitat von @Fennek11:

Wie berichtet ihr, wenn ihr malware entdeckt?

Nicht anonym, sondern mit Klarnamen.

lks

PS: Man kann recht einfach mit email anonym oder nur pseudonym kommunizieren, wenn man sich einfach eine wegwerf-mailadresse für diesen einen Zweck anlegt.
Member: brammer
brammer Sep 09, 2020 at 12:14:20 (UTC)
Goto Top
Hallo,

Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware
immer noch verfügbar.

Wo steht den geschrieben dass das über Nacht passieren muss ?
Manchmal dauert das einfach ...

brammer
Member: StefanKittel
StefanKittel Sep 10, 2020 updated at 05:37:09 (UTC)
Goto Top
Zitat von @Fennek11:
Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
Könnte man erwarten, ist aber nicht so.
In der Regel schreiben die Hoster nur ihren Kunden an mit einem "Abuse".
Dieser kann schlicht antworten "Trifft nicht zu" und das war es.

Mehr machen die nur wenn es den Anbieter direkter betrifft.
Heisst viel Traffic oder viele Abuses. Sonst passiert da gar nichts.

Ich schreibe in der Regel den Hoster und den Webseitenbetreiber an.

Dazu trage ich die IP hier ein. https://www.abuseipdb.com/
Wobei das mit IPv6 ja witzlos wird.

Stefan