Verständnisfrage: Was passiert, wenn eine fake Rechnung.exe, im Anhang, ausgeführt wird?
Guten Nachmittag liebe Forengemeinde,
entschuldigt bitte meine "vermeintliche" Sonntagsfrage.
Mir ist nicht zu 100% klar, was eigentlich im Hintergrund passiert, wenn ich eine Rechnung.exe, die ich als E-Mail erhalten habe, öffne.
Manchmal kommt es vor, dass solche E-Mails an Anwender geschickt werden, die wiederum geblockt werden, was vollkommen richtig ist, ich wiederum von den Benutzern gefragt werde, warum wird diese Mail geblockt bzw. mir die Frage gestellt wird, was passiert, wenn diese geöffnet wird.
Bisher habe ich denen erklärt, dass sobald diese Rechnung.exe ausgeführt wird, gewisse Schädlinge im Hintergrund heruntergeladen werden und das System folglich verschlüsseln. Wobei nicht nur deren Anwenderdaten betroffen sind, sondern auch deren Freigaben. (Falls das so richtig ist).
Um die Materie besser zu verstehen, wollte ich mal fragen, ob es eine Möglichkeit gibt, bewusst eine solche EXE auszuführen ohne dass mein System bzw. mein Netzwerk, davon betroffen ist.
Ich habe hier noch eine alte Windows 10 - Kiste, die ich sowieso neuaufsetzen wollte, mit der ich stupide das durchführen könnte. Da die EXE sicherlich Zugang zum Netz bedarf, will ich die EXE nicht einfach blind ausführen. Nicht das am Ende meine anderen Geräte davon betroffen sind.
Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?
Oder anders gefragt, wenn ich mir die EXE auf mein System ziehe ohne sie auszuführen, gibt es doch sicherlich die Möglichkeit an den Quellcode zu kommen oder irre ich mich?
Als würde ich z.B. über den Editor den Code schreiben, die Datei als .Batch speichern und jeder Zeit über den Editor, den Quellcode ansehen zu können.
Gruß.
AS
entschuldigt bitte meine "vermeintliche" Sonntagsfrage.
Mir ist nicht zu 100% klar, was eigentlich im Hintergrund passiert, wenn ich eine Rechnung.exe, die ich als E-Mail erhalten habe, öffne.
Manchmal kommt es vor, dass solche E-Mails an Anwender geschickt werden, die wiederum geblockt werden, was vollkommen richtig ist, ich wiederum von den Benutzern gefragt werde, warum wird diese Mail geblockt bzw. mir die Frage gestellt wird, was passiert, wenn diese geöffnet wird.
Bisher habe ich denen erklärt, dass sobald diese Rechnung.exe ausgeführt wird, gewisse Schädlinge im Hintergrund heruntergeladen werden und das System folglich verschlüsseln. Wobei nicht nur deren Anwenderdaten betroffen sind, sondern auch deren Freigaben. (Falls das so richtig ist).
Um die Materie besser zu verstehen, wollte ich mal fragen, ob es eine Möglichkeit gibt, bewusst eine solche EXE auszuführen ohne dass mein System bzw. mein Netzwerk, davon betroffen ist.
Ich habe hier noch eine alte Windows 10 - Kiste, die ich sowieso neuaufsetzen wollte, mit der ich stupide das durchführen könnte. Da die EXE sicherlich Zugang zum Netz bedarf, will ich die EXE nicht einfach blind ausführen. Nicht das am Ende meine anderen Geräte davon betroffen sind.
Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?
Oder anders gefragt, wenn ich mir die EXE auf mein System ziehe ohne sie auszuführen, gibt es doch sicherlich die Möglichkeit an den Quellcode zu kommen oder irre ich mich?
Als würde ich z.B. über den Editor den Code schreiben, die Datei als .Batch speichern und jeder Zeit über den Editor, den Quellcode ansehen zu können.
Gruß.
AS
Please also mark the comments that contributed to the solution of the article
Content-ID: 609899
Url: https://administrator.de/contentid/609899
Printed on: December 10, 2024 at 00:12 o'clock
10 Comments
Latest comment
Die kann theoretisch alles ausführen - und testen würde ich sowas NIE eigenen Netz - auch nich als VM, sondern wenn nur in nem abgeschotteten Netz. Ich würde nämlich davon ausgehen das heute das meiste nich mehr stupides runterladen is - das wäre schwach... nen krypto-trojaner kann man auch direkt in die Exe reinpacken und fertig is.. Dann sind die Daten halt verschlüsselt. Solltest du das IN EINEM ABGESCHOTTETEN Netz ausprobieren wollen - viel spass, da passiert natürlich nich viel, kann aber sein das der natürlich nich sofort loslegt sondern erst auf nen Trigger wartet (damit ggf. im lokalen Netz noch mehr das öffnen u.ä.).
Zitat von @AbstrackterSystemimperator:
Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?
Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?
Falsch.
Oder anders gefragt, wenn ich mir die EXE auf mein System ziehe ohne sie auszuführen, gibt es doch sicherlich die Möglichkeit an den Quellcode zu kommen oder irre ich mich?
Ja.
Als würde ich z.B. über den Editor den Code schreiben, die Datei als .Batch speichern und jeder Zeit über den Editor, den Quellcode ansehen zu können.
Nein.
irgendwie hast du total falsche Vorstellungen von der Materie.
Was eine eingeschleuste "exe" anstellt, weiß man erst hinterher, wenn überhaupt.
Den "Quellcode" eines solchen Programmes wiederherzustellen ist meist mit großem Aufwand verbunden, insbesondere weil das meist selbstmodifizierender Code ist und ggf. auch Teile aus dem Netzwerk nachlädt.
Auch in einer VM bist Du nicht sicher. Zum einen, weil es Schadcode gibt, die aus einer VM ausbrechen kann, zum Anderen, weil die Schadsoftware sich auch übers Netzwerk auf andere Systeme verbreiten kann oder einfach Netzwerkgeräte angreift und übernimmt. Netzwerkdrucker oder oder andere IoT-Geräte sind da sehr beliebt.
Solche Programme auszuführen ist nur in einer isolierten(!) Umgebung einigermaßen sicher und selbst dann muß man anschließend alles dekontaminieren.
Also: Laß die Finger davon. Dein Arbeitgeber wird es Dir danken.
lks
Edit: Typos korrigiert.
moin...
in der regel wird schädliche Software installiert... was soll auch passieren... hier und da nen verschlüsselungstrojaner, mehr aber auch nicht!
Manchmal kommt es vor, dass solche E-Mails an Anwender geschickt werden, die wiederum geblockt werden, was vollkommen richtig ist, ich wiederum von den Benutzern gefragt werde, warum wird diese Mail geblockt bzw. mir die Frage gestellt wird, was passiert, wenn diese geöffnet wird.
wisi wirst du gefragt, bist du der Admin?
Bisher habe ich denen erklärt, dass sobald diese Rechnung.exe ausgeführt wird, gewisse Schädlinge im Hintergrund heruntergeladen werden und das System folglich verschlüsseln. Wobei nicht nur deren Anwenderdaten betroffen sind, sondern auch deren Freigaben. (Falls das so richtig ist).
genau...
Um die Materie besser zu verstehen, wollte ich mal fragen, ob es eine Möglichkeit gibt, bewusst eine solche EXE auszuführen ohne dass mein System bzw. mein Netzwerk, davon betroffen ist.
klar... stöpsel das netzwerk ab, und los... aber danach machst du bitte eine neues Setup.
Ich habe hier noch eine alte Windows 10 - Kiste, die ich sowieso neuaufsetzen wollte, mit der ich stupide das durchführen könnte. Da die EXE sicherlich Zugang zum Netz bedarf, will ich die EXE nicht einfach blind ausführen. Nicht das am Ende meine anderen Geräte davon betroffen sind.
wird aber so sein...
Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?
nein.... mach du das besser nicht!
Oder anders gefragt, wenn ich mir die EXE auf mein System ziehe ohne sie auszuführen, gibt es doch sicherlich die Möglichkeit an den Quellcode zu kommen oder irre ich mich?
Klar.... und du kannst den auch Lesen und Verstehen?
Als würde ich z.B. über den Editor den Code schreiben, die Datei als .Batch speichern und jeder Zeit über den Editor, den Quellcode ansehen zu können.
aha.... bist du sicher?
Gruß.
AS
Frank
Zitat von @AbstrackterSystemimperator:
Guten Nachmittag liebe Forengemeinde,
entschuldigt bitte meine "vermeintliche" Sonntagsfrage.
Mir ist nicht zu 100% klar, was eigentlich im Hintergrund passiert, wenn ich eine Rechnung.exe, die ich als E-Mail erhalten habe, öffne.
warum machst du auch sowas....Guten Nachmittag liebe Forengemeinde,
entschuldigt bitte meine "vermeintliche" Sonntagsfrage.
Mir ist nicht zu 100% klar, was eigentlich im Hintergrund passiert, wenn ich eine Rechnung.exe, die ich als E-Mail erhalten habe, öffne.
in der regel wird schädliche Software installiert... was soll auch passieren... hier und da nen verschlüsselungstrojaner, mehr aber auch nicht!
Manchmal kommt es vor, dass solche E-Mails an Anwender geschickt werden, die wiederum geblockt werden, was vollkommen richtig ist, ich wiederum von den Benutzern gefragt werde, warum wird diese Mail geblockt bzw. mir die Frage gestellt wird, was passiert, wenn diese geöffnet wird.
Bisher habe ich denen erklärt, dass sobald diese Rechnung.exe ausgeführt wird, gewisse Schädlinge im Hintergrund heruntergeladen werden und das System folglich verschlüsseln. Wobei nicht nur deren Anwenderdaten betroffen sind, sondern auch deren Freigaben. (Falls das so richtig ist).
Um die Materie besser zu verstehen, wollte ich mal fragen, ob es eine Möglichkeit gibt, bewusst eine solche EXE auszuführen ohne dass mein System bzw. mein Netzwerk, davon betroffen ist.
Ich habe hier noch eine alte Windows 10 - Kiste, die ich sowieso neuaufsetzen wollte, mit der ich stupide das durchführen könnte. Da die EXE sicherlich Zugang zum Netz bedarf, will ich die EXE nicht einfach blind ausführen. Nicht das am Ende meine anderen Geräte davon betroffen sind.
Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?
Oder anders gefragt, wenn ich mir die EXE auf mein System ziehe ohne sie auszuführen, gibt es doch sicherlich die Möglichkeit an den Quellcode zu kommen oder irre ich mich?
Als würde ich z.B. über den Editor den Code schreiben, die Datei als .Batch speichern und jeder Zeit über den Editor, den Quellcode ansehen zu können.
Gruß.
AS
Ich habe das in Vergangenheit so gehandhabt, dass ich mir die vermeintlich infizierte Mail an eine externe Gmail Adresse weitergeleitet habe und diese dann auf einem Rechner, der direkt an einem Router im Internet hing, isoliert vom Firmen Netzwerk (!), geöffnet oder gescannt habe.
Oder wenn es um diese klassische Bewerbung & Lebenslauf im DOC Format Geschichte ging, diese gerne auch mal direkt im Gmail Account mit Google Docs habe öffnen und direkt in PDF konvertieren lassen, und zurück gesendet, ohne dass jemals ein MS Word die DOC Datei gesehen hat.
Oder alternativ mal unter Linux und Libre Office in die DOC oder XLS Datei reingucken, da kann man recht sicher sein, dass die Dateien einem nix machen. Hilft einem bei einer EXE Datei natürlich nicht, aber viele Mail Gateways filtern EXE Dateien ins E-Mails ja sowieso schon raus.
Oder wenn es um diese klassische Bewerbung & Lebenslauf im DOC Format Geschichte ging, diese gerne auch mal direkt im Gmail Account mit Google Docs habe öffnen und direkt in PDF konvertieren lassen, und zurück gesendet, ohne dass jemals ein MS Word die DOC Datei gesehen hat.
Oder alternativ mal unter Linux und Libre Office in die DOC oder XLS Datei reingucken, da kann man recht sicher sein, dass die Dateien einem nix machen. Hilft einem bei einer EXE Datei natürlich nicht, aber viele Mail Gateways filtern EXE Dateien ins E-Mails ja sowieso schon raus.
Naja - ne Bewerbung an nen Google-Account schicken (ggf. sogar noch den privaten) könnte dich in grössere Probleme als nen Virus bringen - das nur mal am Rande...
Is aber ganz einfach:Zum testen nen isolierten rechner nehmen und gut ist... wobei ich mich immer frage was ich falsch mache - ich habe gar nich die Zeit dafür das nur aus Neugier zu testen... Meist hab ich andere Dinge zu tun (zumindest die, die mich mehr interessieren würden als irgentwelche 08/15 kiddy-viren, weil das is es ja meistens... wirklich gute und gezielte Angriffe hab ich lange nich gesehen)
Is aber ganz einfach:Zum testen nen isolierten rechner nehmen und gut ist... wobei ich mich immer frage was ich falsch mache - ich habe gar nich die Zeit dafür das nur aus Neugier zu testen... Meist hab ich andere Dinge zu tun (zumindest die, die mich mehr interessieren würden als irgentwelche 08/15 kiddy-viren, weil das is es ja meistens... wirklich gute und gezielte Angriffe hab ich lange nich gesehen)
Zitat von @Stefan41:
Oder alternativ mal unter Linux und Libre Office in die DOC oder XLS Datei reingucken, da kann man recht sicher sein, dass die Dateien einem nix machen.
Oder alternativ mal unter Linux und Libre Office in die DOC oder XLS Datei reingucken, da kann man recht sicher sein, dass die Dateien einem nix machen.
Aufpassen. Auch da gibt es inzwischen "Dokumente", die drauf lauern und Open- oder Libreoffice auf Linux ausgeführt zu werden!
Man sollte nicht zu leichtfertig solche Aussagen treffen.
lks
Zitat von @maretz:
weil das is es ja meistens... wirklich gute und gezielte Angriffe hab ich lange nich gesehen)
weil das is es ja meistens... wirklich gute und gezielte Angriffe hab ich lange nich gesehen)
Dann bist Du nicht wichtig genug.
Was man als Otto-Normaladmin mitbekommt ist nur das Grundrauschen das durch die "Schrotschuß-Technik" bei einem ankommt. Für gewinnbringendere Ziele werden die Angriffe speziell angepaßt, so daß diese nur vereinzelte Admins betreffen, wenn sie das überhaupt rechtzeitig mitbekommen.
lks