8
Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Hallo,
wir haben ein Problem mit Trojanermeldungen bei uns im Netzwerk. Eingesetzter Virenscanner ist McAfee VirusScan Enterprise in Version 8.8 mit dem EPO.
Gemeldet wird ein PDF/Blacole
Das ganze zieht ziemliche Kreise, es sind PDF Dokumente befallen die per Exchange versand wurden, PDFs die im SVN liegen und auf etlichen Rechnern verteilt sind.
Nun die alles entscheidende Frage bevor wir unsere Gegen-Maßnahmen weiter fortsetzen. Wie wahrscheinlich ist es das dies ein False/ Positive ist?
Eine ältere Virendefinition (25. Juli 13) hat noch nicht ausgeschlagen, die aktuelle (Gestern und Heute) schlägt aus.
Auf Virustotal schlägt nur McAfee aus, alle anderen nicht. Meinen Support Account bei McAfee bekomme ich heute nichtmehr aktiviert, Ansprechpartner nicht erreichbar.
Was meinen die Erfahrenen Administrator.de Nutzer?
Danke!
wir haben ein Problem mit Trojanermeldungen bei uns im Netzwerk. Eingesetzter Virenscanner ist McAfee VirusScan Enterprise in Version 8.8 mit dem EPO.
Gemeldet wird ein PDF/Blacole
Das ganze zieht ziemliche Kreise, es sind PDF Dokumente befallen die per Exchange versand wurden, PDFs die im SVN liegen und auf etlichen Rechnern verteilt sind.
Nun die alles entscheidende Frage bevor wir unsere Gegen-Maßnahmen weiter fortsetzen. Wie wahrscheinlich ist es das dies ein False/ Positive ist?
Eine ältere Virendefinition (25. Juli 13) hat noch nicht ausgeschlagen, die aktuelle (Gestern und Heute) schlägt aus.
Auf Virustotal schlägt nur McAfee aus, alle anderen nicht. Meinen Support Account bei McAfee bekomme ich heute nichtmehr aktiviert, Ansprechpartner nicht erreichbar.
Was meinen die Erfahrenen Administrator.de Nutzer?
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215075
Url: https://administrator.de/contentid/215075
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Hi.
Mit hoher Sicherheit false-Positive. McAfee kennt ihn seit 2012, er sollte mindestens 3/4 der anderen somit bekannt sein und nicht 0/45.
Mit hoher Sicherheit false-Positive. McAfee kennt ihn seit 2012, er sollte mindestens 3/4 der anderen somit bekannt sein und nicht 0/45.
1
Hallo,
einen betroffenen Rechner vom Netz nehmen, mit einer Live CD booten und von dort scannen....
Wenn du dann einen Infekt findest, dann soltest du weitersuchen...
brammer
einen betroffenen Rechner vom Netz nehmen, mit einer Live CD booten und von dort scannen....
Wenn du dann einen Infekt findest, dann soltest du weitersuchen...
brammer
1
Hallo,
- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.
Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!
Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut
- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!
- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.
- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.
Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!
Gruß
Dobby
P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!
Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA
P.P.S.
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.
: Hinweis (Disclaimer) : - Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.
Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!
Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut
- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!
- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.
- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.
Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!
Gruß
Dobby
P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!
Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA
P.P.S.
Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.
: Hinweis (Disclaimer) : - Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
1
Moin,
nachdem das "Uralt"-Malware ist, und alle anderen nichts finden, spricht alles erstmal dafür, daß es ein false-positive ist. Passiert manchmal, ist kein weltuntergang, vor allen kein grund in Panik zu verfallen.
Sollte auf jeden Fall zwar mit Mcafee abgeklärt werden.
Wichtiger ist aber, eure PDF-Reader zu checken, denn es ist wieder ein 0-day für Adobe Reader draußen.
lks
nachdem das "Uralt"-Malware ist, und alle anderen nichts finden, spricht alles erstmal dafür, daß es ein false-positive ist. Passiert manchmal, ist kein weltuntergang, vor allen kein grund in Panik zu verfallen.
Sollte auf jeden Fall zwar mit Mcafee abgeklärt werden.
Wichtiger ist aber, eure PDF-Reader zu checken, denn es ist wieder ein 0-day für Adobe Reader draußen.
lks
Hi,
wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.
https://mysupport.mcafee.com/Eservice/Default.aspx
Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei uns ca. 1 Stunde gedauert.
Viel Glück.
Gruß Andreas
wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.
https://mysupport.mcafee.com/Eservice/Default.aspx
Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei uns ca. 1 Stunde gedauert.
Viel Glück.
Gruß Andreas
Nachtrag:
Der 0-day soll laut heise ein fake sein. rotzdem ist ein Augenerk auf die rReader nicht verkehrt.
lks
Der 0-day soll laut heise ein fake sein. rotzdem ist ein Augenerk auf die rReader nicht verkehrt.
lks
Hallo,
erst einmal vielen Dank für die eure Antworten, echt super!
Ja mein nächster Schritt wird der Kontakt mit dem McAfee Support sein, aber eher nur zur abschließenden Klärung, denn mit den neuen Defeinitionsdateien schlägt auch der McAffe nicht mehr an.
Hallo, ich habe Erfahrungen mit diesen Dingen. Musste schon einmal einen ähnlichen Fall aufklären und habe mich damals auch Mirroringports, Wireshark und Snort bedient um zum Ziel zu kommen.
Allerdings muss man beim Wireshark auch wissen wonach man sucht, bei dem False-Posetiv PDF Trojaner nicht unbedingt die einfachste Übrung.
Neben den technischen Dingen, die dem Admin das leben schwer machen (NAT und PAT, xlate Tabellen loggen usw. ) - hast du Recht gibt es natürlich auch immer den rechtlichen Punkt,um sauber gegenüber BR und GL zu handeln.
TCPDUMP? noch nie angefasst, wie ist denn die Auswertbarkeit? Daten sammeln ist leicht, aber der Umgang mit den erfassten Daten und auch das heraus zu lesen ist die Kunst. Von Daher ist ein IDS alá Snort ganz gut und hilft beim Lesen. Ich kann dazu übrigens das OS Projekt https://snorby.org/ empfehlen.
- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!
- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.
- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.
Naja einen dauerhaften Einsatz von Snort und anderen Tools sieht die Leitung und der BR sehr kritisch gegenüber, deshalb sind diese Dinge nur bei konkreten Verdacht oder einem Vorfall mit Zustimmung einzusetzen. Bei Verstoß, kann man sich schon in die Nesseln setzen..
Aber für nächstes Jahr ist auch die Ergänzung mit NGFW vorgesehen. Pilotbetrieb läuft bereits.
False/ Positive hin oder her, Sicherheits-Vorfälle (angenommen es wäre wirklich ernst) dieser Art ziehen leider nicht nur Arbeit in technischer Form nach sich. Der Vertrauensbruch der MA zur IT (welche Sekretärin, Gruppenleiter, who ever, denkt bei PDF an eine Bedrohung?), der kritische Blick der GL auf die Arbeitsweise der IT - das sind in der Regel die schlimmeren Folgen für den Betrieb, wenn es nicht gerade eine ernstgemeinte Wirtschaftsspionage ist.
Gruß
Dobby
P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!
Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA
P.P.S.
> Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.
erst einmal vielen Dank für die eure Antworten, echt super!
Ja mein nächster Schritt wird der Kontakt mit dem McAfee Support sein, aber eher nur zur abschließenden Klärung, denn mit den neuen Defeinitionsdateien schlägt auch der McAffe nicht mehr an.
Zitat von @108012:
Hallo,
- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.
Hallo,
- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.
Hallo, ich habe Erfahrungen mit diesen Dingen. Musste schon einmal einen ähnlichen Fall aufklären und habe mich damals auch Mirroringports, Wireshark und Snort bedient um zum Ziel zu kommen.
Allerdings muss man beim Wireshark auch wissen wonach man sucht, bei dem False-Posetiv PDF Trojaner nicht unbedingt die einfachste Übrung.
Neben den technischen Dingen, die dem Admin das leben schwer machen (NAT und PAT, xlate Tabellen loggen usw. ) - hast du Recht gibt es natürlich auch immer den rechtlichen Punkt,um sauber gegenüber BR und GL zu handeln.
Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar
erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!
Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut
erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!
Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut
TCPDUMP? noch nie angefasst, wie ist denn die Auswertbarkeit? Daten sammeln ist leicht, aber der Umgang mit den erfassten Daten und auch das heraus zu lesen ist die Kunst. Von Daher ist ein IDS alá Snort ganz gut und hilft beim Lesen. Ich kann dazu übrigens das OS Projekt https://snorby.org/ empfehlen.
- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!
- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.
- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.
Aber für nächstes Jahr ist auch die Ergänzung mit NGFW vorgesehen. Pilotbetrieb läuft bereits.
Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!
False/ Positive hin oder her, Sicherheits-Vorfälle (angenommen es wäre wirklich ernst) dieser Art ziehen leider nicht nur Arbeit in technischer Form nach sich. Der Vertrauensbruch der MA zur IT (welche Sekretärin, Gruppenleiter, who ever, denkt bei PDF an eine Bedrohung?), der kritische Blick der GL auf die Arbeitsweise der IT - das sind in der Regel die schlimmeren Folgen für den Betrieb, wenn es nicht gerade eine ernstgemeinte Wirtschaftsspionage ist.
Gruß
Dobby
P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!
Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA
P.P.S.
> Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.
- Hinweis (Disclaimer)
- - Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Zitat von @Stonygan:
Hi,
wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür
eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens
Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.
https://mysupport.mcafee.com/Eservice/Default.aspx
Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei
uns ca. 1 Stunde gedauert.
Viel Glück.
Gruß Andreas
Hi,
wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür
eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens
Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.
https://mysupport.mcafee.com/Eservice/Default.aspx
Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei
uns ca. 1 Stunde gedauert.
Viel Glück.
Gruß Andreas
Danke für deine Antwort, das gibt mir Sicherheit.
Auch mit den aktuellen Definitionen erkennt McAfee nichts mehr.
Leider gibt es bei uns nur eine McAfee Grant# für >50 Standorte, und der (Unter)Accountverwalter ist wohl afk ;)
