fennek11
Goto Top

Emotet: viele Worte auf einer Seite

Hallo,

vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.

Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.

Kann man das zum Erkennen der malware nutzen?

mfg

Content-Key: 614756

Url: https://administrator.de/contentid/614756

Printed on: April 21, 2024 at 18:04 o'clock

Member: itisnapanto
itisnapanto Oct 21, 2020 at 09:53:26 (UTC)
Goto Top
Zitat von @Fennek11:

Hallo,

vor einigen Tagen hat die bekannte MS-Office malware "Emotet" die Position des Powershell-Scripts geändert: Es ist jetzt im Dokument mit der Schriftgröße 2 im Dokument-Text positioniert.

Mit der Linux-Funktion "file" kann man das sehr gut erkennen, kein normaler Text hat ca. 4.000 Worte mit 20.000 Buchstaben auf einer Seite.

Kann man das zum Erkennen der malware nutzen?

mfg

Glaube das sicherste ist immer noch Office Dokumente von außen nicht zuzulassen und Makros einfach unternehmensweit sperren. Rest sollte dann die Ransomwareerkennung des Virenscanners machen in Verbindung mit einem Webproxy.

Gruss
Member: StefanKittel
StefanKittel Oct 21, 2020 at 10:24:18 (UTC)
Goto Top
Hallo,

nicht ganz Deine Frage, aber eine Ergänzung.

Vergleichbares kann man bei Viren auf Web-Servern mit PHP beobachten.
Die schreiben meist eine sehr lange Textzeile in die 1. Zeile oder kurz darunter.

Sobald man also im Editor mehr als 150 Zeichen nach rechts scrollen kann, man sieht es sofort sehr schön an der Größe des Scrollbalken, ist die Chance groß dass da was drin ist.

Stefan
Member: Fennek11
Fennek11 Oct 21, 2020 at 14:08:42 (UTC)
Goto Top
Z.Zt. gibt es sehr viele "Qakbot"-malware.

In der xlsb-Variante versagt "ClamAV" und fast alle Anti-Viren-Programme, da "nur" ein Macro4-Sheet enthalten ist.

Erkennbar ist es mit:
python3 zipdump.py 5123428d...c155.zip | grep macrosheet
    8 xl/macrosheets/_rels/sheet1.bin.rels         0 1980-01-01 00:00:00 
    9 xl/macrosheets/binaryIndex1.bin              0 1980-01-01 00:00:00 
   78 xl/macrosheets/sheet1.bin                    0 1980-01-01 00:00:00 

In der "docProps/app.xml" sind Nicht-Lateinische Buchstaben, vermutlich kyrillisch.

<vt:lpstr>Макросы Excel 4.0</vt:lpstr>