Virenscanner - werden jetzt schon DOCX als ZIP-Archiv behandelt (und Regeln für ZIP verwendet)?

vgem-e
Goto Top
Hallo hier in die Runde,

bei einer von uns betreuten Einrichtung habe ich seit heute ein seltsames Problem, dass der dort installierte TrendMicro WFBS 10 (latest Build) komischerweise über Word versendete DOCX als ZIP behandelt und meine Regeln für Archivdateien anwendet.

Kennt jemand von Euch evtl. eine Lösung?

Klar ist, dass ein DOCX i.d.R. eine xml-Struktur aufweist, die evtl. als "verkapptes" ZIP gelten kann; habe mich mit den genaueren technischen Details der DOCX jedoch noch nicht befasst.
Evtl. checkt dieser AV-Scanner ja die xml im DOCX durch und wendet dann meine Regeln für Archivdateien an???

Gruß

Edit:
Konnte das Problem etwas eingrenzen, es trat nur an einer Mail auf, die diese Einrichtung erhalten hatte und die von dieser Einrichtung um ein DOCX ergänzt wieder an den Absender zurückgesandt werden sollte. Die Originalmail hatte nach meiner Info seitens des Absenders zunächst keinen Anhang; aber evtl. greift hier noch eine andere Regel mit ein, dies muss ich ergänzend prüfen.

Edit 2:
Bei einem weiteren gleichen Dokument dieses Users aus der gleichen Word-Vorlage komischerweise ohne Beanstandung versendet...

Content-Key: 491939

Url: https://administrator.de/contentid/491939

Ausgedruckt am: 03.07.2022 um 11:07 Uhr

Mitglied: SeaStorm
SeaStorm 05.09.2019 aktualisiert um 11:19:07 Uhr
Goto Top
Hi

die ganzen Office Dateien SIND komprimierte Container-Dateien. Nicht unbedingt ZIP(keine Ahnung was), aber das gleiche Prinzip. Und der AV-Scanner sieht halt, das es sich hier um einen Container handelt, den er entsprechend behandelt.
Mitglied: 140913
140913 05.09.2019 aktualisiert um 11:23:02 Uhr
Goto Top
Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!

screenshot

Evtl. checkt dieser AV-Scanner ja die xml im DOCX durch und wendet dann meine Regeln für Archivdateien an???
Den Virenscanner interessieren keine Dateierweiterungen, ihn interessiert das Innenleben und im Header der Datei gibt sich ein OpenXML Document eben als ZIP Datei aus was es auch ist und so behandelt es das eben auch.
Mitglied: VGem-e
VGem-e 05.09.2019 um 11:22:13 Uhr
Goto Top
Servus,

dass sich die meisten AV-Scanner von der Dateiendung "nicht blenden lassen", weiss ich auch; mich wundert nur, dass ein von mir testweise an diese Einrichtung versandtes Mail mit DOCX durchging und bei der betroffenen Mail eben das DOCX offenbar als Archivdatei behandelt wurde? Verstehe aktuell, wer will.

Gruß
Mitglied: 140913
140913 05.09.2019 um 11:23:57 Uhr
Goto Top
Schlangenöl halt ...
Mitglied: manuel-r
manuel-r 05.09.2019 um 11:58:54 Uhr
Goto Top
Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!

...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP face-wink
Mitglied: 140913
140913 05.09.2019 aktualisiert um 12:42:39 Uhr
Goto Top
Zitat von @manuel-r:

Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!

...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP face-wink
Sicher, aber so hat mans eben schwarz auf weiß, genau so wie es ein Virenscanner sieht.
Mitglied: erikro
erikro 05.09.2019 um 12:41:17 Uhr
Goto Top
Zitat von @manuel-r:

Ein DOCX/XLSX ist ein ZIP-Container. Schau einfach mal mit dem Hex-Editor in den Header und vergleiche mit einer ZIP-Datei!

...oder ändere einfach mal die Dateiendung von bspw. .DOCX in .ZIP und entpacke dann das ZIP face-wink

Wozu so kompliziert? Einfach mit $zipprogram öffnen. Das geht ohne vorheriges Umbenennen. face-wink
Mitglied: 140913
140913 05.09.2019 aktualisiert um 12:53:14 Uhr
Goto Top
Och leuts, es ging einzig und allein darum zu zeigen wie der Virenscanner die Datei sieht, nicht das man sie mit jedem beliebigen ZIP-Programm aufmacht.
Mitglied: manuel-r
manuel-r 05.09.2019 um 12:56:06 Uhr
Goto Top
Ja. Und der Virenscanner ist nicht ganz doof und weiß deshalb, dass man DOCX und XLSX auspacken kann um nach dem rechten zusehen. Deswegen macht er es dann auch.
Mitglied: miniversum
miniversum 05.09.2019 um 15:22:58 Uhr
Goto Top
Hallo,

Hast du den mal geschaut was genau in der docx datei ist? Ist evtl. eine Bilddatei oder andere Datei eingebettet die etwas enthällt was der Virenscanner als kritisch sieht?

Gruß
...