emeriks
Goto Top

Auffällige Dateien im Trend Micro Verzeichnis - Ransomware?

Hi,
wir bekommen auf einigen Servern (TrendMicro OfficeScan Clients) sporadisch Warnungen aus unserer Selbstbau-Überwachung, dass im Programmverzeichnis von Trend Micro HA3-Dateien (auch AAA und ABC) auftauchen. Diese Endungen sind ja nun im Zusammenhang mit Ransomware aufgetaucht.

Unser TM Support hat uns nun mitgeteilt, dass man diese Dateien "nicht kennen" würde, sprich, dass man nicht wüsste, dass TM sowas produziert.

Diese Dateien folgen dem Schema
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.HA3
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.AAA
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.ABC
z.B.
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS1D05OG.HA3
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VSDL1IJ8.AAA
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VSDL1IJ8.ABC

Nun sind wir etwas nervös deswegen. Meldungen in dieser Richtung kommen von unseren AV Scannern nicht. Also keine Dateien, welche wegen des Verdachts auf Ransomware in der Quarantäne landen oder automatisch desinfiziert werden würden.
Auch auf dem zentralen TM AV Server selbst keine Meldungen.

Hat das jeman so auch schon mal beobachtet?

Trend Micro OfficeScan Client v11.0.1639 mit allen Updates und Patterns.

E.

Content-ID: 299683

Url: https://administrator.de/contentid/299683

Ausgedruckt am: 05.11.2024 um 23:11 Uhr

Yannosch
Yannosch 21.03.2016 um 09:44:27 Uhr
Goto Top
Ich wünsche einen schönen guten Morgen!


Zitat von @emeriks:

wir bekommen auf einigen Servern (TrendMicro OfficeScan Clients) sporadisch Warnungen aus unserer Selbstbau-Überwachung, dass im Programmverzeichnis von Trend Micro HA3-Dateien (auch AAA und ABC) auftauchen. Diese Endungen sind ja nun im Zusammenhang mit Ransomware aufgetaucht.

Das ist korrekt

Zitat von @emeriks:

Unser TM Support hat uns nun mitgeteilt, dass man diese Dateien "nicht kennen" würde, sprich, dass man nicht wüsste, dass TM sowas produziert.


Das ist ja schonmal ein eindeutiges Zeichen dafür, dass diese Dateien nicht dort hin gehören.
Ob die betreffenden Support-Mitarbeiter aber ausreichende Kenntnisse über die Software haben steht auf einem anderen Blatt.


Zitat von @emeriks:

Diese Dateien folgen dem Schema
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.HA3
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.AAA
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.ABC
z.B.
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS1D05OG.HA3
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VSDL1IJ8.AAA
  • c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VSDL1IJ8.ABC

Nun sind wir etwas nervös deswegen. Meldungen in dieser Richtung kommen von unseren AV Scannern nicht. Also keine Dateien, welche wegen des Verdachts auf Ransomware in der Quarantäne landen oder automatisch desinfiziert werden würden.
Auch auf dem zentralen TM AV Server selbst keine Meldungen.


Da wäre ich auch etwas nervös um ehrlich zu sein. Zumal der TM-Support selbst, diese Dateien nicht zuordnen kann.

Wieviele Backupzyklen speichert ihr ab?

Wann sind euch diese Dateien aufgefallen?

Zitat von @emeriks:

Hat das jeman so auch schon mal beobachtet?


Leider nein, da wir eine andere AV-Software nutzen.

Liebe Grüße
ConnecT
ConnecT 21.03.2016 um 09:58:28 Uhr
Goto Top
Build 1639 ist keinesfalls aktuell. Da fehlen (wenn es sich um den englischen Server handelt)
- SP1 (B2995)
- CP 4150
- CP 4268
Ohne SP1 hast Du auch keinen Schutz vor "unauthorized file encryption", was im Moment extrem wichtig ist.
Gruß Christian
emeriks
emeriks 21.03.2016 um 10:19:30 Uhr
Goto Top
Build 1639 ist keinesfalls aktuell. Da fehlen (wenn es sich um den englischen Server handelt)
Sorry, mein Fehler. Ich war zu faul, und habe bloß unter Systemsteuerung nachgesehen.

Zuletzt aktualisiert:   21.03.2016
Agent-Version:   11.0.4664 SP1

Viren-Scan-Engine (64 Bit):   9.850.1008
Agent-Pattern der intelligenten Suche:   12.415.00
IntelliTrap Ausnahme-Pattern:   1.275.00
IntelliTrap Pattern:   0.227.00
Spyware/Grayware-Scan-Engine (64 Bit):   2.51.1018
Spyware/Grayware-Pattern:   17.15
URL-Filter-Engine:   3.6.1022
Smart-Feedback-Engine (64 Bit):   2.51.1018
Viren-Cleanup-Engine (64 Bit):   7.5.1035
Viren-Clieanup-Template:   1494
Early Boot Cleanup Driver (64 Bit):   1.5.1020
Treiber für Netzwerküberwachung (64 Bit):    2.0.1017
Treiber für Netzwerkfilterung (64 Bit):     2.0.1017
ConnecT
ConnecT 21.03.2016 um 10:57:36 Uhr
Goto Top
Einige dieser Komponenten scheinen nicht aktuell zu sein, vorausgesetzt der Server hat die neuern Versionen.
In Klammern meine Versionsnummern:
Spyware/Grayware-Scan-Engine (64 Bit): 2.51.1018 (6.2.4011)
Early Boot Cleanup Driver (64 Bit): 1.5.1020 (1.5.1023)
Treiber für Netzwerkfilterung (64 Bit): 2.0.1017 (2.0.1077)
Sieht danach aus, daß der Agent einige Treiber nicht aktualisieren kann. Das entspricht auch dem Verhalten, daß im OfficeScan Client\Temp Ordner permantent Dateien runtergeladen und temporär gespeichert werden.
Fehlersuche über Ereignisanzeige oder tmudump.txt
Gruß Christian
hajowe
hajowe 21.03.2016 um 15:35:06 Uhr
Goto Top
Guten Tag


Die Komponenten , deren Versionen und Datum des letzten Updates findet man sehr easy, bei dieser Vorgehensweise.

Rechten Mausklick auf das TM Icon in der Taskanzeige
Dann Komponentenversionen aus Kontext auswählen

Wann und was er updatet hängt natürlich von den Einstellungen im Office Scan Server ab.

Gruß
HajoWe
StefanFel
StefanFel 17.07.2017 um 07:20:05 Uhr
Goto Top
Hi,

habt Ihr Mittlerweile eine Lösung? habe seit Samstag das selbe Problem. Was mich wundert:

1. Es wird versucht die Datei vom System im c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\ zu Specihern
2. Es ist nicht der angemeldete User
3. Es ist bisher das einzige Verzeichnis wo es versucht wird

Bin um jeden Rat dankbar