Emotet: viele Worte auf einer Seite

Hallo,

vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.

Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.

Kann man das zum Erkennen der malware nutzen?

mfg

Content-Key: 614756

Url: https://administrator.de/contentid/614756

Ausgedruckt am: 25.09.2021 um 05:09 Uhr

Mitglied: itisnapanto
itisnapanto 21.10.2020 um 11:53:26 Uhr
Goto Top
Zitat von @Fennek11:

Hallo,

vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.

Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.

Kann man das zum Erkennen der malware nutzen?

mfg

Glaube das sicherste ist immer noch Office Dokumente von außen nicht zuzulassen und Makros einfach unternehmensweit sperren. Rest sollte dann die Ransomwareerkennung des Virenscanners machen in Verbindung mit einem Webproxy.

Gruss
Mitglied: StefanKittel
StefanKittel 21.10.2020 um 12:24:18 Uhr
Goto Top
Hallo,

nicht ganz Deine Frage, aber eine Ergänzung.

Vergleichbares kann man bei Viren auf Web-Servern mit PHP beobachten.
Die schreiben meist eine sehr lange Textzeile in die 1. Zeile oder kurz darunter.

Sobald man also im Editor mehr als 150 Zeichen nach rechts scrollen kann, man sieht es sofort sehr schön an der Größe des Scrollbalken, ist die Chance groß dass da was drin ist.

Stefan
Mitglied: Fennek11
Fennek11 21.10.2020 um 16:08:42 Uhr
Goto Top
Z.Zt. gibt es sehr viele "Qakbot"-malware.

In der xlsb-Variante versagt "ClamAV" und fast alle Anti-Viren-Programme, da "nur" ein Macro4-Sheet enthalten ist.

Erkennbar ist es mit:

In der "docProps/app.xml" sind Nicht-Lateinische Buchstaben, vermutlich kyrillisch.


Heiß diskutierte Beiträge
question
Telefonanlage m. 100 Nebenstellen ohne Support?departure69Vor 1 TagFrageTK-Netze & Geräte18 Kommentare

Hallo. Wir haben seit 7 Jahren eine VoIP-Telefonanalge Aastra 470 (mittlerweile "Mitel") und betreiben 100 Nebenstellen daran. Wir hatten die Anlage damals mit laufendem Support ...

question
Bandbreite berechnen?Krat0sVor 1 TagFrageNetzwerke11 Kommentare

Hallo Leute, wie berechne ich am besten und genausten die Bandbreite welche ich in einem internen Netzwerk so benötige? Sagen wir ich habe so um ...

question
Beide VHDX Dateien nicht lesbarunique24Vor 1 TagFrageWindows Server12 Kommentare

Hallo, habe einen virtuellen Windows 2019 Server (auf einem Hyper-V 2019) mit einer System vhdx und 2 Daten VHDX. Wegen Stromabschaltung musste ich ihn runterfahren ...

question
KabelbeschriftungDieterwillswissenVor 1 TagFrageSwitche und Hubs2 Kommentare

Moin, weiß jemand wie diese Kabelbeschriftungen heißen? Da wird die Beschriftung mit einem normalen Labelwriter ausgedruckt, Klebestreifen werden nicht entfernt (gibt es die eigentlich auch ...

general
Autodesk im Jahre 2021-2022dertowaVor 1 TagAllgemeinOff Topic4 Kommentare

Hallo zusammen, mal eine kleine Anekdote, u.a. da heute Freitag ist. Vor einigen Jahren hatte ich mit Autodesk AutoCAD LT zu tun, in der damaligen ...

question
Excel Deutschland Karte mit Plz darstellenbckgrndVor 1 TagFrageSonstige Systeme6 Kommentare

Hallo, ich würde gerne die Karte (im Anhang) in Excel darstellen. Dynamisch, damit ich werte hinzufügen kann. Weiß jemand ob, das geht? ...

general
Außergewöhnliche hohe Spamaktivitäten und Angriffe per E-Mail gelöst beidermachtvongreyscullVor 21 StundenAllgemeinE-Mail5 Kommentare

Tach Kollegen, liegt das an den bevorstehenden Wahlen? Ich beobachte seit Tagen auf unserer Firewall, dass wir massiven Spamwellen ausgesetzt sind. Bisher kommt zum Glück ...

report
Arcronis True Image verliert Backupeinstellungen, ERNEUT!anteNopeVor 1 TagErfahrungsberichtSicherheits-Tools3 Kommentare

Hallo werte Kollegen, bei ein paar Kunden habe ich Acronis True Image in den Versionen 2017, 2018, 2019, 2020, 2021 im Einsatz. Vor ca. zwei ...