[freifunk-public] FWD: [CB-Report#20250318-10001671] Schadprogramm-Infektionen in AS201701 [Ticket#433003]

Dieter Winkler via Freifunk Rheinland e.V. abuse at freifunk-rheinland.net
Di Mär 18 13:24:26 CET 2025 

Hallo Kollegen an der Saar,

bei uns kommen Warnungen von CERT an. Laut der IP-Adresse läuft über Euer GW ein Kontakt, der durch einen ZEUS-Trojaner erzeugt wird. Es ist mir klar, dass Ihr wahrscheinlich *nicht* den betroffenen PC/ Laptop ausfindig machen könnt. Da es eine Infektion für Windowsgeräte ist, dürfte Euer GW nicht betroffen sein. Vielleicht bei einem Benutzertreffen auf diesen Trojaner hinweisen?

Viele Grüße
Dieter

----
Dr. Dieter Winkler
Mitglied Vorstand

Freifunk Rheinland e. V.
Hirzenrott 2-4
52076 Aachen

[1] https://freifunk-rheinland.net
kontakt at freifunk-rheinland.net

---Anfang der weitergeleiteten Nachricht:---

> Betreff: [CB-Report#20250318-10001671] Schadprogramm-Infektionen in AS201701
> Datum: 18.03.2025 10:21
> Von: "CERT-Bund Reports"
> An: abuse at freifunk-rheinland.net
>
> [English version below]
>
> Sehr geehrte Damen und Herren,
>
> CERT-Bund hat aus vertrauenswürdigen externen Quellen Informationen
> zu IP-Adressen in Deutschland erhalten, unter denen sich mit sehr hoher
> Wahrscheinlichkeit Systeme befinden, welche mit einem Schadprogramm
> infiziert sind.
>
> Nachfolgend senden wir Ihnen eine Liste betroffener IP-Adressen
> in Ihrem Netzbereich. Neben IP-Adresse, Zeitstempel (UTC) und Bezeichnung
> der Schadprogramm-Familie sind jeweils (soweit uns diese Daten vorliegen)
> Quell-Port, Ziel-IP-Adresse, Ziel-Port, Ziel-Hostname und Protokoll zu der
> Verbindung angegeben, die vermutlich von einem Schadprogramm ausgelöst wurde,
> um Kontakt zu einem Kontrollserver der Täter aufzunehmen.
>
> Die meisten der hier gemeldeten Schadprogramme verfügen über Funktionen
> zum Identitätsdiebstahl (Ausspähen von Benutzernamen und Passwörtern)
> und/oder zur Manipulation der Kommunikation beim Online-Banking.
>
> Steckbriefe mit detaillierten Informationen zu vielen Schadprogrammen
> finden Sie unter:
> <[2] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/
> Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/
> Steckbriefe-aktueller-Botnetze/steckbriefe-aktueller-botnetze.html>
>
> Wir möchten Sie bitten, den Sachverhalt umgehend zu prüfen und Maßnahmen
> zur Bereinigung der Systeme einzuleiten bzw. Ihre betroffenen Kunden
> entsprechend zu informieren.
>
> Weitere Informationen zu dieser Benachrichtigung finden Sie unter:
>
>
> Diese E-Mail ist mittels PGP digital signiert.
> Informationen zu dem verwendeten Schlüssel finden Sie unter:
>
>
> Bitte beachten Sie:
> Dies ist eine automatisch generierte Nachricht. Antworten an die
> Absenderadresse werden NICHT gelesen
> und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
> unter Beibehaltung der Ticketnummer [CB-Report#...] in der
> Betreffzeile an .
>
> !! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter
> !! verfügbar sind.
>
> ======================================================================
>
> Dear Sir or Madam,
>
> from trusted external sources, CERT-Bund received information on IP addresses
> geolocated in Germany which are most likely hosting one or more systems
> infected with malware.
>
> Please find below a list of affected IP addresses on your network.
> Each record includes a timestamp (UTC) and the name of the related malware family.
> If available, the record also includes the source port, destination IP,
> destination port and destination hostname for the connection most likely triggered
> by the malware to connect to a command-and-control server.
>
> Most of the malware families reported here include functions for identity theft
> (harvesting of usernames and passwords) and/or online-banking fraud.
>
> Detailed information on many malware families is available here:
> <[8] https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/
> Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/
> Steckbriefe-aktueller-Botnetze/steckbriefe-aktueller-botnetze_node.html>
>
> We would like to ask you to check the issues reported and to take appropriate steps
> to get the infected hosts cleaned up or notify your customers accordingly.
>
> Additional information on this notification is available at:
>
>
> This message is digitally signed using PGP.
> Information on the signature key is available at:
>
>
> Please note:
> This is an automatically generated message. Replies to the
> sender address will NOT be read
> but silently be discarded. In case of questions, please contact
> and keep the ticket number [CB-Report#...]
> of this message in the subject line.
>
> !! Please make sure to consult our HOWTOs and FAQ available at
> !! first.
>
> ============================================================================
> Bitte teilen Sie uns unter mit, wenn Sie die Daten zu
> betroffenen Systemen zukünftig als Dateianhang statt inline erhalten möchten.
>
> Please let us know at if you would like to receive
> the data on affected systems as a file attachment instead of inline.
> ============================================================================
>
> Betroffene Systeme in Ihrem Netzbereich:
> Affected hosts on your networks:
>
> "asn","ip","timestamp","malware","src_port","dst_ip","dst_port","dst_host","proto"
> "201701","185.66.194.35","2025-03-17 10:03:16","socks5_systemz","56305","34.16.47.102","80","","tcp"
> "201701","185.66.194.28","2025-03-17 10:29:24","zeus","1305","3.229.117.57","80","[16] setup.ghwr87ytiuwhgf4ihsjdnbbdvsh.com","tcp"
> "201701","185.66.193.28","2025-03-17 20:06:40","andromeda","54697","34.229.166.50","80","","tcp"
> "201701","2a03:2260:3006:119:40e0:23b:a2c3:32cc","2025-03-17 20:17:42","android.vo1d","56608","2001:470:1:332::fe","80","[17] catmore88.com","tcp"
>
> Mit freundlichen Grüßen / Kind regards
> Team CERT-Bund
>
> Bundesamt für Sicherheit in der Informationstechnik
> Federal Office for Information Security (BSI)
> CERT-Bund
> Godesberger Allee 87, 53175 Bonn, Germany

[1] https://freifunk-rheinland.net
[2] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/
[3] https://reports.cert-bund.de/schadprogramme
[4] https://reports.cert-bund.de/digitale-signatur
[5] mailto:reports at reports.cert-bund.de
[6] mailto:certbund at bsi.bund.de
[7] https://reports.cert-bund.de/
[8] https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/
[9] https://reports.cert-bund.de/en/malware
[10] https://reports.cert-bund.de/en/digital-signature
[11] mailto:reports at reports.cert-bund.de
[12] mailto:certbund at bsi.bund.de
[13] https://reports.cert-bund.de/en/
[14] mailto:certbund at bsi.bund.de
[15] mailto:certbund at bsi.bund.de
[16] http://setup.ghwr87ytiuwhgf4ihsjdnbbdvsh.com
[17] http://catmore88.com
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.hacksaar.de/pipermail/freifunk-public/attachments/20250318/ee32d7ae/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : file
Dateityp    : application/pgp-signature
Dateigröße  : 908 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.hacksaar.de/pipermail/freifunk-public/attachments/20250318/ee32d7ae/attachment.sig>

Mehr Informationen über die Mailingliste freifunk-public