floooh
Goto Top

Virenmail geöffnet - Nachbereitung

Hallo zusammen,

trotz mehrfacher Hinweise und Sensibilisierung ist bei uns folgendes passiert:
Die E-Mail eines potentiellen Kunden wurde gehackt und eine ZIP (mit Passwort geschützt) und DOC-Datei als Inhalt wurde an eine Kollegin geschickt. Getarnt war das quasi als Vertrag.

Das Passwort wurde mit in der Mail mitgeschickt. Trotzdem dumm sie zu öffnen - auch das Passwort wurde eingegeben.... >.<

Unser Virenprogramm (Symantec Endpoint Protection) hat nach öffnen des ZIP angeschlagen und die Datei entsprechend in Quarantäne gestellt.Das doc wurde nicht angerührt. Den Rechner habe ich nun vorsichtshalber mal physisch vom Netz genommen.

Beim Öffnen eines Zip (egal ob der Virenschutz dazwischen funkt) wird, meinem Verständnis nach, natürlich auch schon Code ausgeführt.. Gibt es aus eurer Sicht etwas zu befürchten? Welche Tools werden empfohlen um den PC zu prüfen oder lieber gleich platt machen?

Content-ID: 502215

Url: https://administrator.de/forum/virenmail-geoeffnet-nachbereitung-502215.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

VGem-e
VGem-e 08.10.2019 aktualisiert um 12:18:44 Uhr
Goto Top
Servus,

idealerweise den PC neu aufsetzen!

Ansonsten würde ich die Kaufversion der Zeitschrift C't namens Desinfec't verwenden, bei der gleich 4 separate Virenscanner unter einer Linux-Oberfläche diesen PC scannen.

Und, was ich im Nachhinein am Virenscanner noch prüfen würde, den Empfang/Versand verschiedener Dateiformate wie DOC und XLS per se zu verbieten.

Edit:
War auch hier unter Virenscanner - werden jetzt schon DOCX als ZIP-Archiv behandelt (und Regeln für ZIP verwendet)? schon mal ein Thema...

Gruß
eisbein
eisbein 08.10.2019 aktualisiert um 12:44:48 Uhr
Goto Top
Hallo,

Ich würde auch zur Sicherheit den PC neu aufsetzen - ist in Summer wahrscheinlich ein geringerer Aufwand als mit allen möglichen Tools zu scannen und danach nicht 100% beruhigt und sicher zu sein.

Fakt ist, dass durch das Öffnen der Zip-Datei bereits ein Zugriff auf das System statt gefunden hat, sonst hätte der Virenschutz keinen Alarm geschlagen.
Die Frage ist nur - worauf der Virenschutz reagiert hat und was er evtl. "übersehen" hat.

Gruß
eisbein
LordGurke
LordGurke 08.10.2019 aktualisiert um 12:53:13 Uhr
Goto Top
Das reine Öffnen einer ZIP führt nornalerweise KEINEN darin enthaltenen Code aus. Das Archiv ist ja nur eine Sammlung von Dateien.
Da das Archiv aber verschlüsselt war, hat der On-Demand-Scanner erst nach Eingabe des Kennworts Zugriff auf die entschlüsselten Daten bekommen können — und hat dann angeschlagen.

Ich glaube nicht, dass das System dadurch bereits infiziert wurde. Aber man darf ja nie die humanoide Steuereinheit des PC vergessen, denn die könnte theoretisch mehr gemacht haben als nur das Archiv zu öffnen.
Auch da mache ich mir zwar wenig Sorgen (immerhin hat der Virenscanner ja erkannt, dass da was ist und dürfte die Ausführung unterbunden haben), aber letztlich bleibt dir für 100% Sicherheit natürlich nur, das System aus dem letzten Image wiederherzustellen.
Auch vielleicht als Erziehungseffekt...
eisbein
eisbein 08.10.2019 aktualisiert um 13:03:37 Uhr
Goto Top
Das reine Öffnen einer ZIP führt nornalerweise KEINEN darin enthaltenen Code aus.

Normalerweise nicht, ABER -> https://www.heise.de/security/meldung/Entpacker-7-Zip-kann-zum-Ausfuehre ... face-wink
Lochkartenstanzer
Lochkartenstanzer 08.10.2019 um 13:06:58 Uhr
Goto Top
Zitat von @Floooh:

Beim Öffnen eines Zip (egal ob der Virenschutz dazwischen funkt) wird, meinem Verständnis nach, natürlich auch schon Code ausgeführt.. Gibt es aus eurer Sicht etwas zu befürchten? Welche Tools werden empfohlen um den PC zu prüfen oder lieber gleich platt machen?

Moin,

Grundsätzlich ist es natürlich das einfachste und sicherste den rechner einfach frisch aufzusetzen. Da ist jedes Restrisiko weg. Aber man ist ja faul und iDeinem Fall, sofern es tatsächlich gleich abgefangen wurde, könnte man auch mit einer desinfection leben. Sofern es sich nicht um einen Exploit als Angriff auf Zipper handelt, ist das erstmal unkritisch, eine zip-datei auszupacken. Ich würde da einfach mal das c't-desinfect mit alles scannern drüberlaufen lassen. udn schauen, was sich so alles findet.

lks
Floooh
Floooh 08.10.2019 um 13:18:45 Uhr
Goto Top
Ich danke euch für die Rückmeldungen!

Ich werde den PC einfach neu aufsetzen. Das tut keinem wirklich weh und ich hab keine weiteren Bauchschmerzen mehr.
goscho
goscho 08.10.2019 um 17:32:49 Uhr
Goto Top
Mahlzeit
Zitat von @Floooh:

Ich danke euch für die Rückmeldungen!

Ich werde den PC einfach neu aufsetzen. Das tut keinem wirklich weh und ich hab keine weiteren Bauchschmerzen mehr.
Kann man so machen, muss man das auch?

Wer hat SEP bei euch eingerichtet?
Vertraust du deinem zentral verwalteten Virenwächter von Symantec nicht oder kennst dich mit diesem nicht aus?
Es gibt Logs in der Management Console, die dir zeigen, wann was gefunden wurde.

BTW: Ich habe bereits einige Male zuschauen dürfen, wie SEP solche aus Mails geöffnete Dateien gefunden und in Quarantäne gesteckt hat.
Mehrere dieser PCs habe ich anschließend mit desinfec't geprüft und nichts gefunden.
Es hängt aber auch davon ab, die der Virenwächter eingestellt ist.
maretz
maretz 08.10.2019 um 17:57:19 Uhr
Goto Top
Uff - ich möchte dir an dieser Stelle danken! Danke das du kein Arzt geworden bist. Bei Kopfschmerzen kann ich auch einfach den Kopf abschneiden ohne zu gucken woran es eigentlich lag (und dann rausfinden das der Patient sich lediglich gestossen hat und ne beule ..hatte...).


Ich würde halt schon schauen ob das neu installieren nötig ist - denn ansonsten müsstest du *eigentlich* den PC schon neu installieren wenn der Virus empfangen wurde... Rein theoritsch könnte ja Outlook per Script schon was getan haben (nur halt sowas von 0-day exploit das es noch keiner rausgefunden hatte)
NordicMike
NordicMike 08.10.2019 um 20:17:57 Uhr
Goto Top
0-day ist das Stichwort. Ich würde zunächst prüfen welcher Virus erkannt wurde. Wenn er bereits bekannt und älter ist, gibt es auch recherchierbare Geschichten darüber, was er so macht und wo er sich gerne versteckt, ob er mutiert usw.