3
Emotet: viele Worte auf einer Seite
Hallo,
vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.
Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.
Kann man das zum Erkennen der malware nutzen?
mfg
vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.
Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.
Kann man das zum Erkennen der malware nutzen?
mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 614756
Url: https://administrator.de/contentid/614756
Printed on: April 19, 2024 at 03:04 o'clock
3 Comments
Latest comment
Zitat von @Fennek11:
Hallo,
vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.
Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.
Kann man das zum Erkennen der malware nutzen?
mfg
Hallo,
vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.
Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.
Kann man das zum Erkennen der malware nutzen?
mfg
Glaube das sicherste ist immer noch Office Dokumente von außen nicht zuzulassen und Makros einfach unternehmensweit sperren. Rest sollte dann die Ransomwareerkennung des Virenscanners machen in Verbindung mit einem Webproxy.
Gruss
Hallo,
nicht ganz Deine Frage, aber eine Ergänzung.
Vergleichbares kann man bei Viren auf Web-Servern mit PHP beobachten.
Die schreiben meist eine sehr lange Textzeile in die 1. Zeile oder kurz darunter.
Sobald man also im Editor mehr als 150 Zeichen nach rechts scrollen kann, man sieht es sofort sehr schön an der Größe des Scrollbalken, ist die Chance groß dass da was drin ist.
Stefan
nicht ganz Deine Frage, aber eine Ergänzung.
Vergleichbares kann man bei Viren auf Web-Servern mit PHP beobachten.
Die schreiben meist eine sehr lange Textzeile in die 1. Zeile oder kurz darunter.
Sobald man also im Editor mehr als 150 Zeichen nach rechts scrollen kann, man sieht es sofort sehr schön an der Größe des Scrollbalken, ist die Chance groß dass da was drin ist.
Stefan
Z.Zt. gibt es sehr viele "Qakbot"-malware.
In der xlsb-Variante versagt "ClamAV" und fast alle Anti-Viren-Programme, da "nur" ein Macro4-Sheet enthalten ist.
Erkennbar ist es mit:
In der "docProps/app.xml" sind Nicht-Lateinische Buchstaben, vermutlich kyrillisch.
In der xlsb-Variante versagt "ClamAV" und fast alle Anti-Viren-Programme, da "nur" ein Macro4-Sheet enthalten ist.
Erkennbar ist es mit:
python3 zipdump.py 5123428d...c155.zip | grep macrosheet
8 xl/macrosheets/_rels/sheet1.bin.rels 0 1980-01-01 00:00:00
9 xl/macrosheets/binaryIndex1.bin 0 1980-01-01 00:00:00
78 xl/macrosheets/sheet1.bin 0 1980-01-01 00:00:00 In der "docProps/app.xml" sind Nicht-Lateinische Buchstaben, vermutlich kyrillisch.
<vt:lpstr>Макросы Excel 4.0</vt:lpstr>
