Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virenmail geöffnet - Nachbereitung

Mitglied: Floooh

Floooh (Level 1) - Jetzt verbinden

08.10.2019, aktualisiert 12:00 Uhr, 596 Aufrufe, 9 Kommentare, 5 Danke

Hallo zusammen,

trotz mehrfacher Hinweise und Sensibilisierung ist bei uns folgendes passiert:
Die E-Mail eines potentiellen Kunden wurde gehackt und eine ZIP (mit Passwort geschützt) und DOC-Datei als Inhalt wurde an eine Kollegin geschickt. Getarnt war das quasi als Vertrag.

Das Passwort wurde mit in der Mail mitgeschickt. Trotzdem dumm sie zu öffnen - auch das Passwort wurde eingegeben.... >.<

Unser Virenprogramm (Symantec Endpoint Protection) hat nach öffnen des ZIP angeschlagen und die Datei entsprechend in Quarantäne gestellt.Das doc wurde nicht angerührt. Den Rechner habe ich nun vorsichtshalber mal physisch vom Netz genommen.

Beim Öffnen eines Zip (egal ob der Virenschutz dazwischen funkt) wird, meinem Verständnis nach, natürlich auch schon Code ausgeführt.. Gibt es aus eurer Sicht etwas zu befürchten? Welche Tools werden empfohlen um den PC zu prüfen oder lieber gleich platt machen?
Mitglied: VGem-e
08.10.2019, aktualisiert um 12:18 Uhr
Servus,

idealerweise den PC neu aufsetzen!

Ansonsten würde ich die Kaufversion der Zeitschrift C't namens Desinfec't verwenden, bei der gleich 4 separate Virenscanner unter einer Linux-Oberfläche diesen PC scannen.

Und, was ich im Nachhinein am Virenscanner noch prüfen würde, den Empfang/Versand verschiedener Dateiformate wie DOC und XLS per se zu verbieten.

Edit:
War auch hier unter https://administrator.de/forum/virenscanner-docx-zip-archiv-behandelt-un ... schon mal ein Thema...

Gruß
Bitte warten ..
Mitglied: eisbein
08.10.2019, aktualisiert um 12:44 Uhr
Hallo,

Ich würde auch zur Sicherheit den PC neu aufsetzen - ist in Summer wahrscheinlich ein geringerer Aufwand als mit allen möglichen Tools zu scannen und danach nicht 100% beruhigt und sicher zu sein.

Fakt ist, dass durch das Öffnen der Zip-Datei bereits ein Zugriff auf das System statt gefunden hat, sonst hätte der Virenschutz keinen Alarm geschlagen.
Die Frage ist nur - worauf der Virenschutz reagiert hat und was er evtl. "übersehen" hat.

Gruß
eisbein
Bitte warten ..
Mitglied: LordGurke
08.10.2019, aktualisiert um 12:53 Uhr
Das reine Öffnen einer ZIP führt nornalerweise KEINEN darin enthaltenen Code aus. Das Archiv ist ja nur eine Sammlung von Dateien.
Da das Archiv aber verschlüsselt war, hat der On-Demand-Scanner erst nach Eingabe des Kennworts Zugriff auf die entschlüsselten Daten bekommen können — und hat dann angeschlagen.

Ich glaube nicht, dass das System dadurch bereits infiziert wurde. Aber man darf ja nie die humanoide Steuereinheit des PC vergessen, denn die könnte theoretisch mehr gemacht haben als nur das Archiv zu öffnen.
Auch da mache ich mir zwar wenig Sorgen (immerhin hat der Virenscanner ja erkannt, dass da was ist und dürfte die Ausführung unterbunden haben), aber letztlich bleibt dir für 100% Sicherheit natürlich nur, das System aus dem letzten Image wiederherzustellen.
Auch vielleicht als Erziehungseffekt...
Bitte warten ..
Mitglied: eisbein
08.10.2019, aktualisiert um 13:03 Uhr
Das reine Öffnen einer ZIP führt nornalerweise KEINEN darin enthaltenen Code aus.

Normalerweise nicht, ABER -> https://www.heise.de/security/meldung/Entpacker-7-Zip-kann-zum-Ausfuehre ...
Bitte warten ..
Mitglied: Lochkartenstanzer
08.10.2019 um 13:06 Uhr
Zitat von Floooh:

Beim Öffnen eines Zip (egal ob der Virenschutz dazwischen funkt) wird, meinem Verständnis nach, natürlich auch schon Code ausgeführt.. Gibt es aus eurer Sicht etwas zu befürchten? Welche Tools werden empfohlen um den PC zu prüfen oder lieber gleich platt machen?

Moin,

Grundsätzlich ist es natürlich das einfachste und sicherste den rechner einfach frisch aufzusetzen. Da ist jedes Restrisiko weg. Aber man ist ja faul und iDeinem Fall, sofern es tatsächlich gleich abgefangen wurde, könnte man auch mit einer desinfection leben. Sofern es sich nicht um einen Exploit als Angriff auf Zipper handelt, ist das erstmal unkritisch, eine zip-datei auszupacken. Ich würde da einfach mal das c't-desinfect mit alles scannern drüberlaufen lassen. udn schauen, was sich so alles findet.

lks
Bitte warten ..
Mitglied: Floooh
08.10.2019 um 13:18 Uhr
Ich danke euch für die Rückmeldungen!

Ich werde den PC einfach neu aufsetzen. Das tut keinem wirklich weh und ich hab keine weiteren Bauchschmerzen mehr.
Bitte warten ..
Mitglied: goscho
08.10.2019 um 17:32 Uhr
Mahlzeit
Zitat von Floooh:

Ich danke euch für die Rückmeldungen!

Ich werde den PC einfach neu aufsetzen. Das tut keinem wirklich weh und ich hab keine weiteren Bauchschmerzen mehr.
Kann man so machen, muss man das auch?

Wer hat SEP bei euch eingerichtet?
Vertraust du deinem zentral verwalteten Virenwächter von Symantec nicht oder kennst dich mit diesem nicht aus?
Es gibt Logs in der Management Console, die dir zeigen, wann was gefunden wurde.

BTW: Ich habe bereits einige Male zuschauen dürfen, wie SEP solche aus Mails geöffnete Dateien gefunden und in Quarantäne gesteckt hat.
Mehrere dieser PCs habe ich anschließend mit desinfec't geprüft und nichts gefunden.
Es hängt aber auch davon ab, die der Virenwächter eingestellt ist.
Bitte warten ..
Mitglied: maretz
08.10.2019 um 17:57 Uhr
Uff - ich möchte dir an dieser Stelle danken! Danke das du kein Arzt geworden bist. Bei Kopfschmerzen kann ich auch einfach den Kopf abschneiden ohne zu gucken woran es eigentlich lag (und dann rausfinden das der Patient sich lediglich gestossen hat und ne beule ..hatte...).


Ich würde halt schon schauen ob das neu installieren nötig ist - denn ansonsten müsstest du *eigentlich* den PC schon neu installieren wenn der Virus empfangen wurde... Rein theoritsch könnte ja Outlook per Script schon was getan haben (nur halt sowas von 0-day exploit das es noch keiner rausgefunden hatte)
Bitte warten ..
Mitglied: NordicMike
08.10.2019 um 20:17 Uhr
0-day ist das Stichwort. Ich würde zunächst prüfen welcher Virus erkannt wurde. Wenn er bereits bekannt und älter ist, gibt es auch recherchierbare Geschichten darüber, was er so macht und wo er sich gerne versteckt, ob er mutiert usw.
Bitte warten ..
Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 20 StundenHumor (lol)3 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 1 TagSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 1 TagWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 2 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
gelöst Frage von Nickolas.GroheUbuntu53 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 729 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
Frage von hukimanLAN, WAN, Wireless29 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Microsoft Office
Abfrage ist beschädigt. Error-Code 3340 in Access2013
gelöst Frage von RomualdMicrosoft Office16 Kommentare

Hallo Foren-Mitglieder, ich hätte da mal ein Problem Seit heute am Morgen (13.11.2019) erhalte ich die Fehlermeldung "Abfrage '' ...