10
Virenscanner - werden jetzt schon DOCX als ZIP-Archiv behandelt (und Regeln für ZIP verwendet)?
Hallo hier in die Runde,
bei einer von uns betreuten Einrichtung habe ich seit heute ein seltsames Problem, dass der dort installierte TrendMicro WFBS 10 (latest Build) komischerweise über Word versendete DOCX als ZIP behandelt und meine Regeln für Archivdateien anwendet.
Kennt jemand von Euch evtl. eine Lösung?
Klar ist, dass ein DOCX i.d.R. eine xml-Struktur aufweist, die evtl. als "verkapptes" ZIP gelten kann; habe mich mit den genaueren technischen Details der DOCX jedoch noch nicht befasst.
Evtl. checkt dieser AV-Scanner ja die xml im DOCX durch und wendet dann meine Regeln für Archivdateien an???
Gruß
Edit:
Konnte das Problem etwas eingrenzen, es trat nur an einer Mail auf, die diese Einrichtung erhalten hatte und die von dieser Einrichtung um ein DOCX ergänzt wieder an den Absender zurückgesandt werden sollte. Die Originalmail hatte nach meiner Info seitens des Absenders zunächst keinen Anhang; aber evtl. greift hier noch eine andere Regel mit ein, dies muss ich ergänzend prüfen.
Edit 2:
Bei einem weiteren gleichen Dokument dieses Users aus der gleichen Word-Vorlage komischerweise ohne Beanstandung versendet...
bei einer von uns betreuten Einrichtung habe ich seit heute ein seltsames Problem, dass der dort installierte TrendMicro WFBS 10 (latest Build) komischerweise über Word versendete DOCX als ZIP behandelt und meine Regeln für Archivdateien anwendet.
Kennt jemand von Euch evtl. eine Lösung?
Klar ist, dass ein DOCX i.d.R. eine xml-Struktur aufweist, die evtl. als "verkapptes" ZIP gelten kann; habe mich mit den genaueren technischen Details der DOCX jedoch noch nicht befasst.
Evtl. checkt dieser AV-Scanner ja die xml im DOCX durch und wendet dann meine Regeln für Archivdateien an???
Gruß
Edit:
Konnte das Problem etwas eingrenzen, es trat nur an einer Mail auf, die diese Einrichtung erhalten hatte und die von dieser Einrichtung um ein DOCX ergänzt wieder an den Absender zurückgesandt werden sollte. Die Originalmail hatte nach meiner Info seitens des Absenders zunächst keinen Anhang; aber evtl. greift hier noch eine andere Regel mit ein, dies muss ich ergänzend prüfen.
Edit 2:
Bei einem weiteren gleichen Dokument dieses Users aus der gleichen Word-Vorlage komischerweise ohne Beanstandung versendet...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 491939
Url: https://administrator.de/contentid/491939
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
10 Kommentare
Neuester Kommentar
Hi
die ganzen Office Dateien SIND komprimierte Container-Dateien. Nicht unbedingt ZIP(keine Ahnung was), aber das gleiche Prinzip. Und der AV-Scanner sieht halt, das es sich hier um einen Container handelt, den er entsprechend behandelt.
die ganzen Office Dateien SIND komprimierte Container-Dateien. Nicht unbedingt ZIP(keine Ahnung was), aber das gleiche Prinzip. Und der AV-Scanner sieht halt, das es sich hier um einen Container handelt, den er entsprechend behandelt.
Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!
Evtl. checkt dieser AV-Scanner ja die xml im DOCX durch und wendet dann meine Regeln für Archivdateien an???
Den Virenscanner interessieren keine Dateierweiterungen, ihn interessiert das Innenleben und im Header der Datei gibt sich ein OpenXML Document eben als ZIP Datei aus was es auch ist und so behandelt es das eben auch.
Servus,
dass sich die meisten AV-Scanner von der Dateiendung "nicht blenden lassen", weiss ich auch; mich wundert nur, dass ein von mir testweise an diese Einrichtung versandtes Mail mit DOCX durchging und bei der betroffenen Mail eben das DOCX offenbar als Archivdatei behandelt wurde? Verstehe aktuell, wer will.
Gruß
dass sich die meisten AV-Scanner von der Dateiendung "nicht blenden lassen", weiss ich auch; mich wundert nur, dass ein von mir testweise an diese Einrichtung versandtes Mail mit DOCX durchging und bei der betroffenen Mail eben das DOCX offenbar als Archivdatei behandelt wurde? Verstehe aktuell, wer will.
Gruß
Schlangenöl halt ...
Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!
...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP
Zitat von @manuel-r:
...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP
Sicher, aber so hat mans eben schwarz auf weiß, genau so wie es ein Virenscanner sieht.Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!
...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP
Zitat von @manuel-r:
...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP
Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!
...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP
Wozu so kompliziert? Einfach mit $zipprogram öffnen. Das geht ohne vorheriges Umbenennen.
Och leuts, es ging einzig und allein darum zu zeigen wie der Virenscanner die Datei sieht, nicht das man sie mit jedem beliebigen ZIP-Programm aufmacht.
Ja. Und der Virenscanner ist nicht ganz doof und weiß deshalb, dass man DOCX und XLSX auspacken kann um nach dem rechten zusehen. Deswegen macht er es dann auch.
Hallo,
Hast du den mal geschaut was genau in der docx datei ist? Ist evtl. eine Bilddatei oder andere Datei eingebettet die etwas enthällt was der Virenscanner als kritisch sieht?
Gruß
...
Hast du den mal geschaut was genau in der docx datei ist? Ist evtl. eine Bilddatei oder andere Datei eingebettet die etwas enthällt was der Virenscanner als kritisch sieht?
Gruß
...
