Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Virenscanner - werden jetzt schon DOCX als ZIP-Archiv behandelt (und Regeln für ZIP verwendet)?

Mitglied: VGem-e

VGem-e (Level 2) - Jetzt verbinden

05.09.2019, aktualisiert 07.10.2019, 1763 Aufrufe, 10 Kommentare

Hallo hier in die Runde,

bei einer von uns betreuten Einrichtung habe ich seit heute ein seltsames Problem, dass der dort installierte TrendMicro WFBS 10 (latest Build) komischerweise über Word versendete DOCX als ZIP behandelt und meine Regeln für Archivdateien anwendet.

Kennt jemand von Euch evtl. eine Lösung?

Klar ist, dass ein DOCX i.d.R. eine xml-Struktur aufweist, die evtl. als "verkapptes" ZIP gelten kann; habe mich mit den genaueren technischen Details der DOCX jedoch noch nicht befasst.
Evtl. checkt dieser AV-Scanner ja die xml im DOCX durch und wendet dann meine Regeln für Archivdateien an???

Gruß

Edit:
Konnte das Problem etwas eingrenzen, es trat nur an einer Mail auf, die diese Einrichtung erhalten hatte und die von dieser Einrichtung um ein DOCX ergänzt wieder an den Absender zurückgesandt werden sollte. Die Originalmail hatte nach meiner Info seitens des Absenders zunächst keinen Anhang; aber evtl. greift hier noch eine andere Regel mit ein, dies muss ich ergänzend prüfen.

Edit 2:
Bei einem weiteren gleichen Dokument dieses Users aus der gleichen Word-Vorlage komischerweise ohne Beanstandung versendet...
Mitglied: SeaStorm
05.09.2019, aktualisiert um 11:19 Uhr
Hi

die ganzen Office Dateien SIND komprimierte Container-Dateien. Nicht unbedingt ZIP(keine Ahnung was), aber das gleiche Prinzip. Und der AV-Scanner sieht halt, das es sich hier um einen Container handelt, den er entsprechend behandelt.
Bitte warten ..
Mitglied: 140913
05.09.2019, aktualisiert um 11:23 Uhr
Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!

screenshot - Klicke auf das Bild, um es zu vergrößern

Evtl. checkt dieser AV-Scanner ja die xml im DOCX durch und wendet dann meine Regeln für Archivdateien an???
Den Virenscanner interessieren keine Dateierweiterungen, ihn interessiert das Innenleben und im Header der Datei gibt sich ein OpenXML Document eben als ZIP Datei aus was es auch ist und so behandelt es das eben auch.
Bitte warten ..
Mitglied: VGem-e
05.09.2019 um 11:22 Uhr
Servus,

dass sich die meisten AV-Scanner von der Dateiendung "nicht blenden lassen", weiss ich auch; mich wundert nur, dass ein von mir testweise an diese Einrichtung versandtes Mail mit DOCX durchging und bei der betroffenen Mail eben das DOCX offenbar als Archivdatei behandelt wurde? Verstehe aktuell, wer will.

Gruß
Bitte warten ..
Mitglied: 140913
05.09.2019 um 11:23 Uhr
Schlangenöl halt ...
Bitte warten ..
Mitglied: manuel-r
05.09.2019 um 11:58 Uhr
Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!

...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP
Bitte warten ..
Mitglied: 140913
05.09.2019, aktualisiert um 12:42 Uhr
Zitat von manuel-r:

Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!

...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP
Sicher, aber so hat mans eben schwarz auf weiß, genau so wie es ein Virenscanner sieht.
Bitte warten ..
Mitglied: erikro
05.09.2019 um 12:41 Uhr
Zitat von manuel-r:

Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!

...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP

Wozu so kompliziert? Einfach mit $zipprogram öffnen. Das geht ohne vorheriges Umbenennen.
Bitte warten ..
Mitglied: 140913
05.09.2019, aktualisiert um 12:53 Uhr
Och leuts, es ging einzig und allein darum zu zeigen wie der Virenscanner die Datei sieht, nicht das man sie mit jedem beliebigen ZIP-Programm aufmacht.
Bitte warten ..
Mitglied: manuel-r
05.09.2019 um 12:56 Uhr
Ja. Und der Virenscanner ist nicht ganz doof und weiß deshalb, dass man DOCX und XLSX auspacken kann um nach dem rechten zusehen. Deswegen macht er es dann auch.
Bitte warten ..
Mitglied: miniversum
05.09.2019 um 15:22 Uhr
Hallo,

Hast du den mal geschaut was genau in der docx datei ist? Ist evtl. eine Bilddatei oder andere Datei eingebettet die etwas enthällt was der Virenscanner als kritisch sieht?

Gruß
...
Bitte warten ..
Ähnliche Inhalte
Windows Tools
ZIP Programme - Welches?
Frage von AkeipraWindows Tools11 Kommentare

Hallo zusammen, welche Kompressionsprogramme benutzt ihr und warum? Welches Programm ist am schnellsten beim Zippen (unkompremiert) da ich oft ...

Batch & Shell
Powershell Zip extrahieren
gelöst Frage von MarabuntaBatch & Shell2 Kommentare

Hi, ich möchte ein ZIP-Archiv extrahieren, und dabei alles überschreiben. Zur Zeit kommt mit dem Code auch ein fortschrittsfenster, ...

Entwicklung
Neue 7 Zip Version
Information von sabinesEntwicklung1 Kommentar

Die Version 18.05 ist vor kurzem erschienen und schließt einige Lücken Näheres hier:

Batch & Shell

Datei per CMD Konsolen Befehl - in Windows mitgeliefertes Standard ZIP packen - ohne extra Tools(ZIP, RAR, 7-ZIP)

Frage von RycoDePsycoBatch & Shell7 Kommentare

Hallo, wie die Überschrift es schon sagt, ich möchte mit Boardmitteln also ohne ein Tool / Programm extra installieren ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 1 TagMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 4 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 5 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 7 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android27 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Windows Server
Windows-NAS zum sekundären DNS-Server machen?
Frage von DanielG1974Windows Server18 Kommentare

Moin. Wer so ein bissel meine Situation meiner Arbeitsstelle kennt Mein Chef hat immer noch keinen neuen ESXi-Server angeschafft. ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V14 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Telefonserver remote starten
Frage von imebroBatch & Shell12 Kommentare

Hallo, ich hatte ein ähnliches Problem schon einmal. Damals hatten sich jedoch die Gegebenheiten dann verändert, sodass sich das ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...