<!DOCTYPE html>
<html dir="auto">
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
    <meta http-equiv="X-UA-Compatible" content="IE=edge"/>
    <style type="text/css">
      body {
        font-family:'Helvetica Neue', Helvetica, Arial, Geneva, sans-serif; font-size: 12px;;
      }
      img {
        outline: none;
        text-decoration: none;
        -ms-interpolation-mode: bicubic;
      }
      a img {
        border: none;
      }
      table td {
        border-collapse: collapse;
      }
      table {
        border-collapse: collapse;
        mso-table-lspace: 0pt;
        mso-table-rspace: 0pt;
        border: none;
        table-layout: auto;
        display: block;
        width: 100%;
        overflow: auto;
        word-break: keep-all;
      }
      table,
      pre,
      blockquote {
        margin: 0 0 16px;
      }
      td, th {
        padding: 7px 12px;
      }
      th {
        font-weight: bold;
        text-align: center;
      }
      col {
        width: auto;
      }
      p {
        margin: 0;
      }
      code {
        border: none;
        background: hsl(0,0%,97%);
        white-space: pre-wrap;
      }
      blockquote {
        padding: 8px 12px;
        border-left: 5px solid #eee;
      }
      pre {
        padding: 12px 15px;
        font-size: 13px;
        line-height: 1.45;
        background: hsl(0,0%,97%);
        white-space: pre-wrap;
        border-radius: 3px;
        border: none;
        overflow: auto;
      }
    </style>
  </head>
  <body style="font-family:'Helvetica Neue', Helvetica, Arial, Geneva, sans-serif; font-size: 12px;;"><div>Hallo Freifunk-Kollegen,</div><div><br></div><div>wir erhielten diese Warnmeldung vom CERT. Auf Grund der IP-Adresse scheint sie zu Euch zu gehören.</div><div><br></div><div>Für Rückfragen stehe ich gerne zur Verfügung</div><div><br></div><div data-signature="true" data-signature-id="1">
<div>Viele Grüße</div>
<div>Dieter</div>
<div>---</div>
<div>Dr. Dieter Winkler</div>
<div>Mitglied Vorstand<br>
</div>
<div>Freifunk Rheinland e. V.</div>
<div>Hirzenrott 2-4</div>
<div>52076 Aachen</div>
<div><br></div>
<div><a href="https://freifunk-rheinland.net" title="https://freifunk-rheinland.net" rel="nofollow noreferrer noopener" target="_blank">https://freifunk-rheinland.net</a></div>
<div>kontakt@freifunk-rheinland.net</div>
</div><br><div>---Anfang der weitergeleiteten Nachricht:---<br><br>
</div><div><blockquote type="cite" style="border-left: 2px solid blue; margin: 0 0 16px; padding: 8px 12px 8px 12px;">
<div>Betreff: [CB-Report#20240823-10000723] Schadprogramm-Infektionen in AS201701<br>Datum: 23.08.2024 05:26<br>Von: "CERT-Bund Reports" <reports@reports.cert-bund.de><br>An: abuse@freifunk-rheinland.net<br><br>
</div>
<div>[English version below]</div>
<div><br></div>
<div>Sehr geehrte Damen und Herren,</div>
<div><br></div>
<div>CERT-Bund hat aus vertrauenswürdigen externen Quellen Informationen</div>
<div>zu IP-Adressen in Deutschland erhalten, unter denen sich mit hoher</div>
<div>Wahrscheinlichkeit Systeme befinden, welche mit einem Schadprogramm</div>
<div>infiziert sind.</div>
<div><br></div>
<div>Nachfolgend senden wir Ihnen eine Liste betroffener Systeme</div>
<div>in Ihrem Netzbereich. Neben der IP-Adresse des betroffenen Systems,</div>
<div>Zeitstempel (UTC) und Bezeichnung der Schadprogramm-Familie sind jeweils</div>
<div>(soweit uns diese Daten vorliegen) Quell-Port, Ziel-IP-Adresse, Ziel-Port,</div>
<div>Ziel-Hostname und Protokoll zu der Verbindung angegeben, die vermutlich</div>
<div>von einem Schadprogramm ausgelöst wurde, um Kontakt zu einem</div>
<div>Kontrollserver aufzunehmen.</div>
<div><br></div>
<div>Die meisten der hier gemeldeten Schadprogramme verfügen über Funktionen</div>
<div>zum Identitätsdiebstahl (Ausspähen von Benutzernamen und Passwörtern)</div>
<div>und/oder zur Manipulation der Kommunikation beim Online-Banking.</div>
<div><br></div>
<div>Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende</div>
<div>Maßnahmen zur Bereinigung der Systeme einzuleiten bzw. Ihre Kunden</div>
<div>zu informieren.</div>
<div><br></div>
<div>Weitere Informationen zu dieser Benachrichtigung finden Sie unter:</div>
<div><<a href="https://reports.cert-bund.de/schadprogramme" title="https://reports.cert-bund.de/schadprogramme" rel="nofollow noreferrer noopener" target="_blank">https://reports.cert-bund.de/schadprogramme</a>></div>
<div><br></div>
<div>Diese E-Mail ist mittels PGP digital signiert.</div>
<div>Informationen zu dem verwendeten Schlüssel finden Sie unter:</div>
<div><<a href="https://reports.cert-bund.de/digitale-signatur" title="https://reports.cert-bund.de/digitale-signatur" rel="nofollow noreferrer noopener" target="_blank">https://reports.cert-bund.de/digitale-signatur</a>></div>
<div><br></div>
<div>Bitte beachten Sie:</div>
<div>Dies ist eine automatisch generierte Nachricht. Antworten an die</div>
<div>Absenderadresse <<a href="mailto:reports@reports.cert-bund.de" title="mailto:reports@reports.cert-bund.de">reports@reports.cert-bund.de</a>> werden NICHT gelesen</div>
<div>und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte</div>
<div>unter Beibehaltung der Ticketnummer [CB-Report#...] in der</div>
<div>Betreffzeile an <<a href="mailto:certbund@bsi.bund.de" title="mailto:certbund@bsi.bund.de">certbund@bsi.bund.de</a>>.</div>
<div><br></div>
<div>!! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter</div>
<div>!! <<a href="https://reports.cert-bund.de/" title="https://reports.cert-bund.de/" rel="nofollow noreferrer noopener" target="_blank">https://reports.cert-bund.de/</a>> verfügbar sind.</div>
<div><br></div>
<div>======================================================================</div>
<div><br></div>
<div>Dear Sir or Madam,</div>
<div><br></div>
<div>from trusted external sources, CERT-Bund received information on</div>
<div>IP addresses geolocated in Germany which are most likely hosting</div>
<div>a system infected with malware.</div>
<div><br></div>
<div>Please find below a list of affected systems on your</div>
<div>network. Each record includes the IP address of the affected system,</div>
<div>a timestamp (UTC) and the name of the related malware family.</div>
<div>If available, the record also includes the source port, destination IP,</div>
<div>destination port and destination hostname for the connection most</div>
<div>likely triggered by the malware to connect to a command-and-control</div>
<div>server.</div>
<div><br></div>
<div>Most of the malware families reported here include functions for</div>
<div>identity theft (harvesting of usernames and passwords) and/or</div>
<div>online-banking fraud.</div>
<div><br></div>
<div>We would like to ask you to check the issues reported and to take</div>
<div>appropriate steps to get the infected hosts cleaned up or notify</div>
<div>your customers accordingly.</div>
<div><br></div>
<div>Additional information on this notification is available at:</div>
<div><<a href="https://reports.cert-bund.de/en/malware" title="https://reports.cert-bund.de/en/malware" rel="nofollow noreferrer noopener" target="_blank">https://reports.cert-bund.de/en/malware</a>></div>
<div><br></div>
<div>This message is digitally signed using PGP.</div>
<div>Information on the signature key is available at:</div>
<div><<a href="https://reports.cert-bund.de/en/digital-signature" title="https://reports.cert-bund.de/en/digital-signature" rel="nofollow noreferrer noopener" target="_blank">https://reports.cert-bund.de/en/digital-signature</a>></div>
<div><br></div>
<div>Please note:</div>
<div>This is an automatically generated message. Replies to the</div>
<div>sender address <<a href="mailto:reports@reports.cert-bund.de" title="mailto:reports@reports.cert-bund.de">reports@reports.cert-bund.de</a>> will NOT be read</div>
<div>but silently be discarded. In case of questions, please contact</div>
<div><<a href="mailto:certbund@bsi.bund.de" title="mailto:certbund@bsi.bund.de">certbund@bsi.bund.de</a>> and keep the ticket number [CB-Report#...]</div>
<div>of this message in the subject line.</div>
<div><br></div>
<div>!! Please make sure to consult our HOWTOs and FAQ available at</div>
<div>!! <<a href="https://reports.cert-bund.de/en/" title="https://reports.cert-bund.de/en/" rel="nofollow noreferrer noopener" target="_blank">https://reports.cert-bund.de/en/</a>> first.</div>
<div><br></div>
<div>============================================================================</div>
<div>Bitte teilen Sie uns unter <<a href="mailto:certbund@bsi.bund.de" title="mailto:certbund@bsi.bund.de">certbund@bsi.bund.de</a>> mit, wenn Sie die Daten zu</div>
<div>betroffenen Systemen zukünftig als Dateianhang statt inline erhalten möchten.</div>
<div><br></div>
<div>Please let us know at <<a href="mailto:certbund@bsi.bund.de" title="mailto:certbund@bsi.bund.de">certbund@bsi.bund.de</a>> if you would like to receive</div>
<div>the data on affected systems as a file attachment instead of inline.</div>
<div>============================================================================</div>
<div><br></div>
<div>Betroffene Systeme in Ihrem Netzbereich:</div>
<div>Affected hosts on your networks:</div>
<div><br></div>
<div>"asn","ip","timestamp","malware","src_port","dst_ip","dst_port","dst_host","proto"</div>
<div>"201701","185.66.193.27","2024-08-22 07:26:28","zeus","1083","44.221.84.105","80","<a href="http://setup.ghwr87ytiuwhgf4ihsjdnbbdvsh.com" title="http://setup.ghwr87ytiuwhgf4ihsjdnbbdvsh.com" rel="nofollow noreferrer noopener" target="_blank">setup.ghwr87ytiuwhgf4ihsjdnbbdvsh.com</a>","tcp"</div>
<div><br></div>
<div>Mit freundlichen Grüßen / Kind regards</div>
<div>Team CERT-Bund</div>
<div><br></div>
<div>Bundesamt für Sicherheit in der Informationstechnik</div>
<div>Federal Office for Information Security (BSI)</div>
<div>CERT-Bund</div>
<div>Godesberger Allee 87, 53175 Bonn, Germany</div>
</blockquote></div><div><br></div><br><br></body>
</html>