3
Malware QakBot
Hallo,
gestern abend habe ich aus einer seriöse Quelle eine Word-Datei mit der malware "QakBot" heruntergeladen und die url's extrahiert. Mit VBA und Powershell wird eine "555...png" heruntergeladen, die aber mit den "magic-bytes" MZ beginnt.
Eine DNS-Anfrage führte bei einer der url's zu einem großen deutschen Anbieter. Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware immer noch verfügbar.
Da kam ich auf die Idee das BKA zu informieren. Eine Telefonnummer und email-Adresse wurde zwar angegeben, aber ich fand keinen Weg, anaonym zu berichten. (Bei einer internationationen Gruppe ging das einfach)
Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
Wie berichtet ihr, wenn ihr malware entdeckt?
gestern abend habe ich aus einer seriöse Quelle eine Word-Datei mit der malware "QakBot" heruntergeladen und die url's extrahiert. Mit VBA und Powershell wird eine "555...png" heruntergeladen, die aber mit den "magic-bytes" MZ beginnt.
Eine DNS-Anfrage führte bei einer der url's zu einem großen deutschen Anbieter. Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware immer noch verfügbar.
Da kam ich auf die Idee das BKA zu informieren. Eine Telefonnummer und email-Adresse wurde zwar angegeben, aber ich fand keinen Weg, anaonym zu berichten. (Bei einer internationationen Gruppe ging das einfach)
Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
Wie berichtet ihr, wenn ihr malware entdeckt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 603153
Url: https://administrator.de/contentid/603153
Printed on: April 27, 2024 at 00:04 o'clock
3 Comments
Latest comment
Nicht anonym, sondern mit Klarnamen.
lks
PS: Man kann recht einfach mit email anonym oder nur pseudonym kommunizieren, wenn man sich einfach eine wegwerf-mailadresse für diesen einen Zweck anlegt.
Hallo,
Wo steht den geschrieben dass das über Nacht passieren muss ?
Manchmal dauert das einfach ...
brammer
Gegen 23:30 habe ich diesen Anbieter über eine gut zu findenden link "rreport pishing emails" informiert, aber heute morgen war die malware
immer noch verfügbar.
immer noch verfügbar.
Wo steht den geschrieben dass das über Nacht passieren muss ?
Manchmal dauert das einfach ...
brammer
Zitat von @Fennek11:
Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
Könnte man erwarten, ist aber nicht so.Ich habe schon die Erwartung, dass malware auf Servern in Deutschland recht zeitnah entfernt wird.
In der Regel schreiben die Hoster nur ihren Kunden an mit einem "Abuse".
Dieser kann schlicht antworten "Trifft nicht zu" und das war es.
Mehr machen die nur wenn es den Anbieter direkter betrifft.
Heisst viel Traffic oder viele Abuses. Sonst passiert da gar nichts.
Ich schreibe in der Regel den Hoster und den Webseitenbetreiber an.
Dazu trage ich die IP hier ein. https://www.abuseipdb.com/
Wobei das mit IPv6 ja witzlos wird.
Stefan