3
Emotet: viele Worte auf einer Seite
Hallo,
vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.
Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.
Kann man das zum Erkennen der malware nutzen?
mfg
vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.
Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.
Kann man das zum Erkennen der malware nutzen?
mfg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 614756
Url: https://administrator.de/contentid/614756
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
3 Kommentare
Neuester Kommentar
Zitat von @Fennek11:
Hallo,
vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.
Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.
Kann man das zum Erkennen der malware nutzen?
mfg
Hallo,
vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.
Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.
Kann man das zum Erkennen der malware nutzen?
mfg
Glaube das sicherste ist immer noch Office Dokumente von außen nicht zuzulassen und Makros einfach unternehmensweit sperren. Rest sollte dann die Ransomwareerkennung des Virenscanners machen in Verbindung mit einem Webproxy.
Gruss
Hallo,
nicht ganz Deine Frage, aber eine Ergänzung.
Vergleichbares kann man bei Viren auf Web-Servern mit PHP beobachten.
Die schreiben meist eine sehr lange Textzeile in die 1. Zeile oder kurz darunter.
Sobald man also im Editor mehr als 150 Zeichen nach rechts scrollen kann, man sieht es sofort sehr schön an der Größe des Scrollbalken, ist die Chance groß dass da was drin ist.
Stefan
nicht ganz Deine Frage, aber eine Ergänzung.
Vergleichbares kann man bei Viren auf Web-Servern mit PHP beobachten.
Die schreiben meist eine sehr lange Textzeile in die 1. Zeile oder kurz darunter.
Sobald man also im Editor mehr als 150 Zeichen nach rechts scrollen kann, man sieht es sofort sehr schön an der Größe des Scrollbalken, ist die Chance groß dass da was drin ist.
Stefan
Z.Zt. gibt es sehr viele "Qakbot"-malware.
In der xlsb-Variante versagt "ClamAV" und fast alle Anti-Viren-Programme, da "nur" ein Macro4-Sheet enthalten ist.
Erkennbar ist es mit:
In der "docProps/app.xml" sind Nicht-Lateinische Buchstaben, vermutlich kyrillisch.
In der xlsb-Variante versagt "ClamAV" und fast alle Anti-Viren-Programme, da "nur" ein Macro4-Sheet enthalten ist.
Erkennbar ist es mit:
python3 zipdump.py 5123428d...c155.zip | grep macrosheet
8 xl/macrosheets/_rels/sheet1.bin.rels 0 1980-01-01 00:00:00
9 xl/macrosheets/binaryIndex1.bin 0 1980-01-01 00:00:00
78 xl/macrosheets/sheet1.bin 0 1980-01-01 00:00:00 In der "docProps/app.xml" sind Nicht-Lateinische Buchstaben, vermutlich kyrillisch.
<vt:lpstr>Макросы Excel 4.0</vt:lpstr>
