Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?

Mitglied: feedge

feedge (Level 1) - Jetzt verbinden

23.08.2013, aktualisiert 11:32 Uhr, 2962 Aufrufe, 8 Kommentare, 3 Danke

Hallo,

wir haben ein Problem mit Trojanermeldungen bei uns im Netzwerk. Eingesetzter Virenscanner ist McAfee VirusScan Enterprise in Version 8.8 mit dem EPO.
Gemeldet wird ein PDF/Blacole

Das ganze zieht ziemliche Kreise, es sind PDF Dokumente befallen die per Exchange versand wurden, PDFs die im SVN liegen und auf etlichen Rechnern verteilt sind.

Nun die alles entscheidende Frage bevor wir unsere Gegen-Maßnahmen weiter fortsetzen. Wie wahrscheinlich ist es das dies ein False/ Positive ist?
Eine ältere Virendefinition (25. Juli 13) hat noch nicht ausgeschlagen, die aktuelle (Gestern und Heute) schlägt aus.
Auf Virustotal schlägt nur McAfee aus, alle anderen nicht. Meinen Support Account bei McAfee bekomme ich heute nichtmehr aktiviert, Ansprechpartner nicht erreichbar.

Was meinen die Erfahrenen Administrator.de Nutzer?

Danke!
Mitglied: DerWoWusste
23.08.2013 um 11:30 Uhr
Hi.

Mit hoher Sicherheit false-Positive. McAfee kennt ihn seit 2012, er sollte mindestens 3/4 der anderen somit bekannt sein und nicht 0/45.
Bitte warten ..
Mitglied: brammer
23.08.2013 um 11:32 Uhr
Hallo,

einen betroffenen Rechner vom Netz nehmen, mit einer Live CD booten und von dort scannen....
Wenn du dann einen Infekt findest, dann soltest du weitersuchen...

brammer
Bitte warten ..
Mitglied: 108012
23.08.2013, aktualisiert um 12:25 Uhr
Hallo,

- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.

Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!

Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut

- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!

- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.

- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.

Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!

Gruß
Dobby

P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!

Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA

P.P.S.

Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.


Hinweis (Disclaimer)
- Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Bitte warten ..
Mitglied: Lochkartenstanzer
23.08.2013 um 12:33 Uhr
Moin,

nachdem das "Uralt"-Malware ist, und alle anderen nichts finden, spricht alles erstmal dafür, daß es ein false-positive ist. Passiert manchmal, ist kein weltuntergang, vor allen kein grund in Panik zu verfallen.

Sollte auf jeden Fall zwar mit Mcafee abgeklärt werden.

Wichtiger ist aber, eure PDF-Reader zu checken, denn es ist wieder ein 0-day für Adobe Reader draußen.

lks
Bitte warten ..
Mitglied: Stonygan
23.08.2013 um 12:55 Uhr
Hi,

wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.

https://mysupport.mcafee.com/Eservice/Default.aspx

Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei uns ca. 1 Stunde gedauert.

Viel Glück.

Gruß Andreas
Bitte warten ..
Mitglied: Lochkartenstanzer
23.08.2013 um 13:05 Uhr
Nachtrag:

Der 0-day soll laut heise ein fake sein. rotzdem ist ein Augenerk auf die rReader nicht verkehrt.

lks
Bitte warten ..
Mitglied: feedge
26.08.2013 um 10:56 Uhr
Hallo,

erst einmal vielen Dank für die eure Antworten, echt super!
Ja mein nächster Schritt wird der Kontakt mit dem McAfee Support sein, aber eher nur zur abschließenden Klärung, denn mit den neuen Defeinitionsdateien schlägt auch der McAffe nicht mehr an.


Zitat von 108012:
Hallo,

- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.


Hallo, ich habe Erfahrungen mit diesen Dingen. Musste schon einmal einen ähnlichen Fall aufklären und habe mich damals auch Mirroringports, Wireshark und Snort bedient um zum Ziel zu kommen.
Allerdings muss man beim Wireshark auch wissen wonach man sucht, bei dem False-Posetiv PDF Trojaner nicht unbedingt die einfachste Übrung.
Neben den technischen Dingen, die dem Admin das leben schwer machen (NAT und PAT, xlate Tabellen loggen usw. ) - hast du Recht gibt es natürlich auch immer den rechtlichen Punkt,um sauber gegenüber BR und GL zu handeln.


Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar
erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!

Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut

TCPDUMP? noch nie angefasst, wie ist denn die Auswertbarkeit? Daten sammeln ist leicht, aber der Umgang mit den erfassten Daten und auch das heraus zu lesen ist die Kunst. Von Daher ist ein IDS alá Snort ganz gut und hilft beim Lesen. Ich kann dazu übrigens das OS Projekt https://snorby.org/ empfehlen.

- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!

- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.

- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.

Naja einen dauerhaften Einsatz von Snort und anderen Tools sieht die Leitung und der BR sehr kritisch gegenüber, deshalb sind diese Dinge nur bei konkreten Verdacht oder einem Vorfall mit Zustimmung einzusetzen. Bei Verstoß, kann man sich schon in die Nesseln setzen..
Aber für nächstes Jahr ist auch die Ergänzung mit NGFW vorgesehen. Pilotbetrieb läuft bereits.

Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!

False/ Positive hin oder her, Sicherheits-Vorfälle (angenommen es wäre wirklich ernst) dieser Art ziehen leider nicht nur Arbeit in technischer Form nach sich. Der Vertrauensbruch der MA zur IT (welche Sekretärin, Gruppenleiter, who ever, denkt bei PDF an eine Bedrohung?), der kritische Blick der GL auf die Arbeitsweise der IT - das sind in der Regel die schlimmeren Folgen für den Betrieb, wenn es nicht gerade eine ernstgemeinte Wirtschaftsspionage ist.

Gruß
Dobby

P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!

Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA

P.P.S.

> Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.


Hinweis (Disclaimer)
- Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Bitte warten ..
Mitglied: feedge
26.08.2013 um 10:59 Uhr
Zitat von Stonygan:
Hi,

wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür
eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens
Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.

https://mysupport.mcafee.com/Eservice/Default.aspx

Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei
uns ca. 1 Stunde gedauert.

Viel Glück.

Gruß Andreas

Danke für deine Antwort, das gibt mir Sicherheit.
Auch mit den aktuellen Definitionen erkennt McAfee nichts mehr.

Leider gibt es bei uns nur eine McAfee Grant# für >50 Standorte, und der (Unter)Accountverwalter ist wohl afk ;)
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr

Ransomware-"Schutz" durch Virustotal?

Frage von majonaiseErkennung und -Abwehr1 Kommentar

Hallo zusammen, ich habe eine mE spannende Situation und konnte dazu noch nichts finden: Ich verantworte ein Netz in ...

Drucker und Scanner

Xerox Kopierer 7225 Scann Probleme

gelöst Frage von FragnantDrucker und Scanner1 Kommentar

Morgen, unser Kopierer zieht sich zwar die gewohnte IP doch bricht jeglichen Scannvorgang ab mit der Fehlermeldung: "Keine Verbindung ...

SAN, NAS, DAS

Trojan Verschlüsselung iSCSI Laufwerke dauerhaft trennen

gelöst Frage von dennz2018SAN, NAS, DAS2 Kommentare

Ich weiss, so eine Frage gab es sicherlich schon einmal. Aber ich konnte nichts genau hier zu finden. Im ...

Netzwerkmanagement

2 Netzwerke 1 Internetanschluss - von Netzwerk 2 auf den NAS-Server (Netzwerk 1) zugreifen.

Frage von paulphilipNetzwerkmanagement4 Kommentare

Hallo, ich habe einen Internetzugang (Modem) von dem aus gehen 2 LAN-Kabel in zwei WLAN-Router (Netgear). In dem Netzwerk ...

Neue Wissensbeiträge
Windows 10

Windows 10 - Programme laufen schneller, wenn Sie mit Administratorrechten ausgeführt werden

Erfahrungsbericht von 1Werner1 vor 23 StundenWindows 1011 Kommentare

Moin, das wollte ich erst nicht glauben, aber es ist so. Wenn Ihr ein Programm mit Administratorrechten unter Windows ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 2 TagenSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 5 TagenOff Topic21 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 5 TagenHumor (lol)6 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Heiß diskutierte Inhalte
Hardware
Telefonanlagen - Welche gibt es
Frage von Xaero1982Hardware26 Kommentare

Nabend Zusammen, ich suche eine neue TK Anlage und mein Auftraggeber will jetzt was völlig neues - State of ...

Microsoft Office
Videodateien auf Windows Server 2008 R2 öffnen schlägt fehl
Frage von SchroediMicrosoft Office16 Kommentare

Hallo zusammen, wir haben das Problem das embedded Videos in PowerPoint (O365) auf unserer Citrix Farm (6.5) nicht abgespielt ...

LAN, WAN, Wireless
Intel(R) PRO Wireless 3945ABG
gelöst Frage von Leon509LAN, WAN, Wireless15 Kommentare

Hallo, habe ein Laptop Fujitsu (Intel, 4GB, 2GHz, Windos10, Intel(R) PRO/Wireless 3945ABG ) ein O2 DSL Anschluss Home50. Leider ...

Hardware
Empfehlung zu neuen Desktop Pcs innerhalb KMU
Frage von Leo-leHardware13 Kommentare

Hallo zusammen, vielleicht könnt Ihr, anhand Eurer Erfahrung, mir einen Tipp zur Bestellung neuer Desktop Pcs für unsere User ...