[freifunk-public] [CB-Report#20250925-10001978] Schadprogramm-Infektionen in AS201701 [Ticket#433679]

Hassler, Keno keno.hassler at cispa.de
Do Sep 25 13:33:03 CEST 2025 

Hallo liebe Freifunker,

wie ihr sicher vorhin gelesen habt, wurde in unserem Netz ein Client lokalisiert, der sich den Zeus-Trojaner [1] eingefangen hat. Dabei handelt es sich um Windows-Malware, die ein Botnetz aufbaut und Online-Banking-Zugangsdaten stiehlt. Wir wissen nicht, wer (oder wo) dieser infizierte Client ist, können also nur darauf hinweisen, dass ihr eure Systeme prüfen solltet. Hierzu eignen sich insbesondere vom USB-Stick startende Antivirus-Systeme (wie z.B. das von Avira [2]), da sie unabhängig vom potenziell verseuchten Betriebssystem funktionieren.

Wie immer sei hier nochmal darauf hingewiesen, regelmäßig alle zur Verfügung stehenden Sicherheitsupdates zu installieren (Windows 10 Support endet nächsten Monat!) und Links sowie Anhängen in E-Mails grundsätzlich zu misstrauen.

Viele Grüße
Keno

[1] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/Steckbriefe-aktueller-Botnetze/Steckbriefe/Zeus/zeus_node.html
[2] https://support.avira.com/hc/de/articles/360007776058-Erstellen-und-Verwenden-eines-Avira-Rescue-Systems


> On 25. Sep 2025, at 12:11, Dieter Winkler via Freifunk Rheinland e.V. via freifunk-public <freifunk-public at saar.freifunk.net> wrote:
> 
> Hallo Freifunk-Kollegen,
> 
> mindestens einer Eurer User hat sich den Trojaner Zeus eingefangen. Vermutlich könnt Ihr den Betroffenen nicht lokalisieren, aber eventuell bei einem Eurer internen Treffen, darauf hinweisen.
> 
> Viele Grüße
> Dieter
> PS: Wenn Ihr diese Mail erhalten habt, lasst es mich bitte wissen.
> ---
> Dr. Dieter Winkler
> Freifunk Rheinland e. V.
> Hirzenrott 2-4
> 52076 Aachen
> 
> https://freifunk-rheinland.net
> kontakt at freifunk-rheinland.net
> 
> ---Anfang der weitergeleiteten Nachricht:---
> 
>> Betreff: [CB-Report#20250925-10001978] Schadprogramm-Infektionen in AS201701
>> Datum: 25.09.2025 10:06
>> Von: "CERT-Bund Reports" <reports at reports.cert-bund.de>
>> An: abuse at freifunk-rheinland.net
>> 
>> [English version below]
>> 
>> Sehr geehrte Damen und Herren,
>> 
>> CERT-Bund hat aus vertrauenswürdigen externen Quellen Informationen
>> zu IP-Adressen in Deutschland erhalten, unter denen sich mit sehr hoher
>> Wahrscheinlichkeit Systeme befinden, welche mit einem Schadprogramm
>> infiziert sind.
>> 
>> Nachfolgend senden wir Ihnen eine Liste betroffener IP-Adressen
>> in Ihrem Netzbereich. Neben IP-Adresse, Zeitstempel (UTC) und Bezeichnung
>> der Schadprogramm-Familie sind jeweils (soweit uns diese Daten vorliegen)
>> Quell-Port, Ziel-IP-Adresse, Ziel-Port, Ziel-Hostname und Protokoll zu der
>> Verbindung angegeben, die vermutlich von einem Schadprogramm ausgelöst wurde,
>> um Kontakt zu einem Kontrollserver der Täter aufzunehmen.
>> 
>> Die meisten der hier gemeldeten Schadprogramme verfügen über Funktionen
>> zum Identitätsdiebstahl (Ausspähen von Benutzernamen und Passwörtern)
>> und/oder zur Manipulation der Kommunikation beim Online-Banking.
>> 
>> Steckbriefe mit detaillierten Informationen zu vielen Schadprogrammen
>> finden Sie unter:
>> <https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/
>> Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/
>> Steckbriefe-aktueller-Botnetze/steckbriefe-aktueller-botnetze.html>
>> 
>> Wir möchten Sie bitten, den Sachverhalt umgehend zu prüfen und Maßnahmen
>> zur Bereinigung der Systeme einzuleiten bzw. Ihre betroffenen Kunden
>> entsprechend zu informieren.
>> 
>> Weitere Informationen zu dieser Benachrichtigung finden Sie unter:
>> <https://reports.cert-bund.de/schadprogramme>
>> 
>> Diese E-Mail ist mittels PGP digital signiert.
>> Informationen zu dem verwendeten Schlüssel finden Sie unter:
>> <https://reports.cert-bund.de/digitale-signatur>
>> 
>> Bitte beachten Sie:
>> Dies ist eine automatisch generierte Nachricht. Antworten an die
>> Absenderadresse <reports at reports.cert-bund.de> werden NICHT gelesen
>> und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
>> unter Beibehaltung der Ticketnummer [CB-Report#...] in der
>> Betreffzeile an <certbund at bsi.bund.de>.
>> 
>> !! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter
>> !! <https://reports.cert-bund.de/> verfügbar sind.
>> 
>> ======================================================================
>> 
>> Dear Sir or Madam,
>> 
>> from trusted external sources, CERT-Bund received information on IP addresses
>> geolocated in Germany which are most likely hosting one or more systems
>> infected with malware.
>> 
>> Please find below a list of affected IP addresses on your network.
>> Each record includes a timestamp (UTC) and the name of the related malware family.
>> If available, the record also includes the source port, destination IP,
>> destination port and destination hostname for the connection most likely triggered
>> by the malware to connect to a command-and-control server.
>> 
>> Most of the malware families reported here include functions for identity theft
>> (harvesting of usernames and passwords) and/or online-banking fraud.
>> 
>> Detailed information on many malware families is available here:
>> <https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/
>> Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/
>> Steckbriefe-aktueller-Botnetze/steckbriefe-aktueller-botnetze_node.html>
>> 
>> We would like to ask you to check the issues reported and to take appropriate steps
>> to get the infected hosts cleaned up or notify your customers accordingly.
>> 
>> Additional information on this notification is available at:
>> <https://reports.cert-bund.de/en/malware>
>> 
>> This message is digitally signed using PGP.
>> Information on the signature key is available at:
>> <https://reports.cert-bund.de/en/digital-signature>
>> 
>> Please note:
>> This is an automatically generated message. Replies to the
>> sender address <reports at reports.cert-bund.de> will NOT be read
>> but silently be discarded. In case of questions, please contact
>> <certbund at bsi.bund.de> and keep the ticket number [CB-Report#...]
>> of this message in the subject line.
>> 
>> !! Please make sure to consult our HOWTOs and FAQ available at
>> !! <https://reports.cert-bund.de/en/> first.
>> 
>> ============================================================================
>> Bitte teilen Sie uns unter <certbund at bsi.bund.de> mit, wenn Sie die Daten zu
>> betroffenen Systemen zukünftig als Dateianhang statt inline erhalten möchten.
>> 
>> Please let us know at <certbund at bsi.bund.de> if you would like to receive
>> the data on affected systems as a file attachment instead of inline.
>> ============================================================================
>> 
>> Betroffene Systeme in Ihrem Netzbereich:
>> Affected hosts on your networks:
>> 
>> "asn","ip","timestamp","malware","src_port","dst_ip","dst_port","dst_host","proto"
>> "201701","185.66.195.80","2025-09-24 22:48:19","android.badboxloader","40269","34.229.166.50","8899","ardai.duoproxys.com","tcp"
>> "201701","185.66.193.115","2025-09-24 13:10:38","android.vo1d","36233","3.250.92.156","55530","","tcp"
>> "201701","185.66.193.27","2025-09-24 09:45:45","zeus","1154","3.229.117.57","80","setup.ghwr87ytiuwhgf4ihsjdnbbdvsh.com","tcp"
>> "201701","185.66.195.4","2025-09-24 13:07:16","android.vo1d","37690","3.250.92.156","55530","","tcp"
>> "201701","185.66.193.44","2025-09-24 13:40:36","nymaim","64667","216.218.185.162","80","efsxhz.org","tcp"
>> "201701","185.66.193.43","2025-09-24 00:25:47","android.badbox2","60556","5.79.71.225","443","","tcp"
>> "201701","185.66.195.90","2025-09-24 01:47:09","android.badbox2","47828","178.162.203.211","443","","tcp"
>> "201701","185.66.193.85","2025-09-24 12:26:42","android.badbox2","45772","178.162.203.202","443","","tcp"
>> "201701","185.66.195.4","2025-09-24 13:08:27","android.vo1d2","42577","5.79.71.225","55530","","tcp"
>> "201701","185.66.195.80","2025-09-24 00:03:11","android.badbox2","41543","5.79.71.205","80","ycxrl.com","tcp"
>> "201701","185.66.194.17","2025-09-24 00:07:47","android.badbox2","38928","178.162.203.202","80","apotube.com","tcp"
>> "201701","185.66.193.61","2025-09-24 00:12:31","android.badbox2","35600","178.162.203.226","80","ycxrl.com","tcp"
>> "201701","185.66.195.94","2025-09-24 09:01:24","android.badbox2","48167","85.17.31.82","80","dcylog.com","tcp"
>> "201701","185.66.193.106","2025-09-24 09:16:21","android.badbox2","43908","178.162.203.226","80","sc.dqmop.com","tcp"
>> "201701","185.66.193.48","2025-09-24 10:04:33","android.badbox2","60512","5.79.71.225","80","ycxrl.com","tcp"
>> "201701","185.66.193.121","2025-09-24 15:52:28","android.badbox2","48294","5.79.71.225","80","apotube.com","tcp"
>> "201701","185.66.193.114","2025-09-24 19:54:45","android.badbox2","59860","5.79.71.225","80","ycxrl.com","tcp"
>> "201701","2a03:2260:2009::","2025-09-24 00:40:40","android.badbox2","42886","2001:470:1:332::fe","80","ycxrl.com","tcp"
>> "201701","2a03:2260:100c:20c:4103:a5fa:32b1:7356","2025-09-24 02:34:10","android.badbox2","48994","2001:470:1:332::fe","80","apotube.com","tcp"
>> "201701","2a03:2260:3017:500:8928:3566:6924:a5e","2025-09-24 03:49:22","android.badbox2","41220","2001:470:1:332::fe","80","ycxrl.com","tcp"
>> "201701","2a03:2260:2342:400:ec17:708b:6dec:b16d","2025-09-24 09:47:19","android.badbox2","53110","2001:470:1:332::fe","80","dcylog.com","tcp"
>> "201701","2a03:2260:115:6100:5416:8483:b69a:89f8","2025-09-24 08:52:11","android.badbox2","40362","2001:470:1:332::ef","80","ycxrl.com","tcp"
>> 
>> Mit freundlichen Grüßen / Kind regards
>> Team CERT-Bund
>> 
>> Bundesamt für Sicherheit in der Informationstechnik
>> Federal Office for Information Security (BSI)
>> CERT-Bund
>> Godesberger Allee 87, 53175 Bonn, Germany
> 
> 
> 
> 
> <file>-- 
> freifunk-public at saar.freifunk.net - Diskussion und Hilfe der Freifunk Saar Community.
> Verwaltung: https://lists.hacksaar.de/listinfo/freifunk-public
> Abbestellen: freifunk-public-unsubscribe at saar.freifunk.net


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4494 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.hacksaar.de/pipermail/freifunk-public/attachments/20250925/7e897a01/attachment-0001.p7s>

Mehr Informationen über die Mailingliste freifunk-public