Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 28.04.2015, 10:57   #1
FKFK
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Hallo alle zusammen,

ich weiß nicht, ob das hier die richtige Stelle ist :-)
Mich interessiert einfach, ob euch diese Welle auch schon aufgefallen ist und wie ihr damit umgeht?

Bei uns erhalten in der letzten Zeit unterschiedliche Mitarbeiter (Öffentlicher Dienst) E-Mails mit verseuchten ZIP-Dateien. Die ZIP-Dateien werden nur teilweise von Scannern erkannt, wenn überhaupt dann von den Heuristik-Modulen.
Versendet werden diese E-Mails von dem Empfänger bekannten E-Mail-Adressen (daher wird wahrscheinlich das Adressbuch/vergangene E-Mails durchkämmt). Nach meinen momentanen Erkenntnissen scheinen die Absender-Adressen nicht gefälscht sondern direkt gekapert zu sein, da es keine Aliase gibt und manchmal sogar die Standard-Absender-Signatur des Absenders darunter ist. Manchmal fehlt sie (wahrscheinlich keine eingerichtet). Signatur und Inhalt sind in unterschiedlichen Schriftarten geschrieben.

Ich habe mal die Datei mit dem Namen my_info.zip untersucht: Wenn ich die ZIP-Datei auf einen PC kopiere, dann wird seltsamerweise eine MRT.exe aus der Mail mitkopiert (scheint mit dem ZIP-Archiv irgendwie verknüpft zu sein, war allerdings vorher nicht zu sehen). In der Zip-Datei ist eine exe-Datei mit einem zufälligen Namen. Die Exe-Datei sieht aus wie eine PDF-Datei.
Der Name der angehängten ZIP-Datei, der Betreff und Inhalt ändert sich scheinbar jeden Tag.
Am 22. April war es "My info" (Betreff), "Check my info" + evtl. Signatur (Inhalt) und my_info.zip (Anhang). Diese Datei wurde am selben Tag laut virustotal nur von 2 aus 57 Viren-Scannener erkannt, am nächsten Tag schon von 30 aus 57 Viren-Scannern. Mit den anderen Zip-Dateien verhält es sich ähnlich.
Am 23. April war es "Olivia docs" (Betreff), "Hi, look what I threw in an attachment." + evtl. Signatur (Inhalt) und reload.zip (Anhang).
//edit: Am 24. April war es "invoice" (Betreff), "Check the invoice attached." + evtl. Signatur (Inhalt) und invoice.zip (Anhang).
Am 27. April war es "Report" (Betreff), "Read the document attached." + evtl. Signatur (Inhalt) und report.zip (Anhang).
Leider habe ich nicht jede Variante mitbekommen.

Da sich die Signatur der Schadsoftware jeden Tag ändert frage ich mich, wie ich die aussortieren soll. Ich bekomme ja auch nicht jede E-Mail mit.

Ist euch diese Welle bekannt? Wie geht ihr damit um? Passt das Thema besser in den Diskussions-Bereich? Ich vermute mal, dass solche Wellen viele betreffen, natürlich abhängig vom Umfeld, und daher auch für die Suchmaschinen hilfreich ist.
Ich gehe davon aus, dass das jeweils die gleiche Schadsoftware ist, da das Muster immer gleich zu sein scheint.

LG

Geändert von FKFK (28.04.2015 um 11:10 Uhr)

Alt 28.04.2015, 12:49   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



ich schiebe es mal in den diskussionsbereich
__________________

__________________

Alt 28.04.2015, 21:36   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Hi,

Spam mit virulenten Archiven sind ja nun nicht wirklich so neu. Ist eher ein alter Hut.

So ab 2013 rum wurde mir das aber zuviel und ich lass alle Mails mit Archiven (ZIP, CAB und wie die ganzen Archivformate heißen) grundsätzlich sperren, die paar legitimen Mails die da bei sind werden manuell aus der Quarantäne rausgeholt und ensprechend weitergeleitet bzw bei bekannten/vertrauenswürdigen Absendern wird die Absendeadresse oder -domain auf die Positivliste gesetzt, damit die von der Prüfung ausgeschlossen sind.

Die Erkennung der Malware darin war einfach noch nicht ausreichend gut genug und es kamen einfach zu schnell neue/unbekannte Archive rein, die selbst der alle 15 Minuten aktualisierte Mailvirenscanner auf dem zentralen Gateway nicht erkennen konnte...
__________________
__________________

Alt 29.04.2015, 15:13   #4
FKFK
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Danke! Das ist auch eine Idee... Allerdings betrifft das so viele ZIP-Dateien, dass eine automatische Quarantäne wohl zu viel Zeit benötigen würde.

Hat sich bei der Erkennungsrate inzwischen etwas verbessert? Sind da bestimmte Tools besonders gut?
Die meisten konnte unser lokaler Virenschutz von der Ausführung abhalten.

Alt 29.04.2015, 17:06   #5
iceweasel
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Ich denke das Spamaufkommen wird dann steigen wenn es ernsthafte Sicherheitslücken gibt. Du könntest ja mal ein paar ZIP-Dateien bzw. die entspackten EXE-Dateien zu Virustotal hochladen. Poste entsprechende Links.


Alt 29.04.2015, 19:22   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Zitat:
Zitat von FKFK Beitrag anzeigen
Danke! Das ist auch eine Idee... Allerdings betrifft das so viele ZIP-Dateien, dass eine automatische Quarantäne wohl zu viel Zeit benötigen würde.

Hat sich bei der Erkennungsrate inzwischen etwas verbessert? Sind da bestimmte Tools besonders gut?
Die meisten konnte unser lokaler Virenschutz von der Ausführung abhalten.
Was soll denn daran lange dauern......Mails mit einem Archiv als Anhang werden grundsätzlich nicht durchgelassen. Und der Empfänger bekommt eine "E-Mail wurde blockiert" Nachricht.
__________________
--> Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei

Alt 29.04.2015, 19:26   #7
felix1
/// Helfer-Team
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Zitat:
Zitat von cosinus Beitrag anzeigen
Spam mit virulenten Archiven sind ja nun nicht wirklich so neu. Ist eher ein alter Hut.
Jepp
Zitat:
Zitat von cosinus Beitrag anzeigen
So ab 2013 rum wurde mir das aber zuviel und ich lass alle Mails mit Archiven (ZIP, CAB und wie die ganzen Archivformate heißen) grundsätzlich sperren, die paar legitimen Mails die da bei sind werden manuell aus der Quarantäne rausgeholt und ensprechend weitergeleitet bzw bei bekannten/vertrauenswürdigen Absendern wird die Absendeadresse oder -domain auf die Positivliste gesetzt, damit die von der Prüfung ausgeschlossen sind.

Die Erkennung der Malware darin war einfach noch nicht ausreichend gut genug und es kamen einfach zu schnell neue/unbekannte Archive rein, die selbst der alle 15 Minuten aktualisierte Mailvirenscanner auf dem zentralen Gateway nicht erkennen konnte...
Ich arbeite hier mit IMAP. Da wird der Müll gar nicht erst heruntergeladen, sondern wird mir nur angezeigt, dass er da ist. Müll wird gleich, ohne heruntergeladen zu werden, beim ISP gelöscht. Inwieweit das der jeweilige ISP unterstützt, muss man nachlesen. Das ist die private Seite.
Dienstlich habe ich auch manchmal solche Probleme. Manchmal schwuppt auch mal so eine Mail durch und landet beim User. Die AV-Software zieht aber dann schnell nach, sodass die Einschlagsquote doch moderat ist und die Mitarbeiter instruiert sind.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 30.04.2015, 01:03   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Es ist doch völlig egal ob runtergeladen oder nicht, über welches Protokoll der Mist reinkommt. Ob IMAP oder POP3 spielt ja nun mal garkeine Rolle. IMAP schützt da rein garnix wenn nix erkannt wird.

Aber vllt reden wir auch einander vorbei, ich meinte mit Mails mit Archiven sperren, dass die ein Endanwender garnicht zu sehen bekommt. Außer einer freundlichen "E-Mail was blocked" E-Mail. Und mehr nicht. Naja, dass man sich an den freundlichen Admin wenden soll wenn da doch was Legitimes geblockt wurde
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.04.2015, 15:27   #9
FKFK
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



@Cosinus: Bei unseren über 700 Mitarbeitern werden schon sehr viele legale Zip-Archive täglich verschickt //edit: Das mit der Hinweis-E-Mail, dass man sich an den Admin wenden soll, ist auf jeden Fall gut. Ich frage mich nur, ob wir das bei so vielen Zip-Archiven neben unserer sonstigen Arbeit schaffen

@iceweasel: Die erste mir aufgefallene ZIP-Datei:
Direkt am entsprechenden Tag: https://www.virustotal.com/de/file/356344313fb11b5b2f4c67c698f1492c5f2492f8db1f321a968d5d18996f01ea/analysis/1429712271/
Ein Tag später: https://www.virustotal.com/de/file/acd511ceaf3fea45a0d9d218c28a4a19f8626b93ba49aee181efa0a3894fb538/analysis/1429781179/

Alt 30.04.2015, 15:34   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Zitat:
Zitat von FKFK Beitrag anzeigen
@Cosinus: Bei unseren über 700 Mitarbeitern werden schon sehr viele legale Zip-Archive täglich verschickt //edit: Das mit der Hinweis-E-Mail, dass man sich an den Admin wenden soll, ist auf jeden Fall gut. Ich frage mich nur, ob wir das bei so vielen Zip-Archiven neben unserer sonstigen Arbeit schaffen /
Auha ich frag mich grad echt wie der Eindruck entstanden ist, dass die Admins das manuell machen müssen
Natürlich erledigt das eine Software, in unserem Fall Firewall/Gateway, das. Und wenn ihr 700 Mitarbeiter seid, dann habt ihr garantiert keine popelige Firewall oder etwa doch?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.04.2015, 15:44   #11
FKFK
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Zitat:
Zitat von cosinus Beitrag anzeigen
Auha ich frag mich grad echt wie der Eindruck entstanden ist, dass die Admins das manuell machen müssen
Natürlich erledigt das eine Software, in unserem Fall Firewall/Gateway, das. Und wenn ihr 700 Mitarbeiter seid, dann habt ihr garantiert keine popelige Firewall oder etwa doch?
Klaro haben wir eine entsprechend leistungsfähige Firewall
Was ich meinte: Müssen die Mitarbeiter die Admins anschreiben und fragen, ob die Admins die E-Mail aus der Quarantäne holen oder können die Mitarbeiter das irgendwie sogar selbst?

Alt 30.04.2015, 15:51   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Achso das. Naja, wenn die User selbst jeden Blödsinn rausholen können ist die ganze Aktion ja fürn Hintern.

Da sollten die Admins dann schon tätig werden. Und wie gesagt, einzelne Absender oder gar Absendedomains, die besondern gerne und viele legitime Archive in Anhängen versenden, kann man ja als Ausnahme betrachten, damit diese Mails nicht im Filter der zentralen Firewall hängenbleiben...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.04.2015, 21:47   #13
felix1
/// Helfer-Team
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Zitat:
Zitat von cosinus Beitrag anzeigen
Es ist doch völlig egal ob runtergeladen oder nicht, über welches Protokoll der Mist reinkommt. Ob IMAP oder POP3 spielt ja nun mal garkeine Rolle. IMAP schützt da rein garnix wenn nix erkannt wird.

Aber vllt reden wir auch einander vorbei,
Wir reden aneinander vorbei
Meine Antwort war ja zweigeteilt: privat und dienstlich.
Das mit POP3 und IMAP bezog sich auf den privaten Bereich. Und hier macht es schon einen Unterschied, ob ich Mails per POP3 sofort beim Aufruf meines Mail-Programmes herunterlade oder sie per IMAP nur angezeigt bekomme. Bei IMAP kann ich Müll schon beim ISP löschen. Bestimmte Sachen landen bei meinem ISP eh schon im Spam-Ordner. Wenn ich mir das trotzdem herunterlade und auch noch öffne, habe ich die Strafe verdient. Auch Mails von unbekannten Absendern
Brain 2.0 sollte immer eingeschaltet sein.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 04.05.2015, 11:05   #14
FKFK
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Hier ist ja die große Schwierigkeit, dass die Archive von bekannten Absendern kommen, die häufig legale Archive schicken und mit denen häufig ein E-Mail-Kontakt besteht.

Die Schadsoftware macht wohl einen Scan der vergangenen E-Mail-Kommunikation und versendet entsprechend Mails. Gibt es hierfür einen Fachbegriff?

Alt 04.05.2015, 12:18   #15
leopay
 
Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Standard

Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei



Zitat:
Zitat von FKFK Beitrag anzeigen
Gibt es hierfür einen Fachbegriff?
"Wellenbrief" vielleicht? Oder "stille Post?"
__________________
Nur die Harten kommen in den Garten

Antwort

Themen zu Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei
anderen, anhang, april, aussortieren, besser, check, dienst, direkt, einfach, erhalte, erkannt, frage, namen, natürlich, report, scan, scanner, thema, variante, virus, virustotal, wahrscheinlich, wellen, überhaupt, zusammen



Ähnliche Themen: Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei


  1. Mehrere wellen virus (welle 2?)
    Plagegeister aller Art und deren Bekämpfung - 03.10.2015 (14)
  2. Deutsche Telekom warnt vor Spam-Welle
    Nachrichten - 19.08.2015 (0)
  3. .scr datei geöffnet - angst vor trojaner und anderer virensoftware
    Log-Analyse und Auswertung - 05.11.2014 (11)
  4. Achtung! An alle Nutzer deutscher Mailanbieter, SPAM-Welle unterwegs zum Thema Mailadressenankauf
    Überwachung, Datenschutz und Spam - 11.06.2014 (0)
  5. Zip-Datei von Spam-Mail geöffnet und nun verdacht auf Schadsoftware.
    Plagegeister aller Art und deren Bekämpfung - 15.03.2014 (8)
  6. Nach Trojanerbefall & Diverser anderer Schadsoftware ist bei eingeschalteter KIS Firewall die SSL Verschlüsselung ausgehebelt
    Plagegeister aller Art und deren Bekämpfung - 01.02.2014 (10)
  7. Nach Trojanerbefall & Diverser anderer Schadsoftware ist bei eingeschalteter KIS Firewall die SSL Verschlüsselung ausgehebelt
    Antiviren-, Firewall- und andere Schutzprogramme - 29.01.2014 (3)
  8. Neue Welle von erpresserischen Anrufen
    Nachrichten - 26.11.2013 (0)
  9. Verschlüsselungstrojaner - neue Welle
    Diskussionsforum - 07.09.2013 (174)
  10. Malware-Welle zielt auf syrische Oppositionelle
    Nachrichten - 16.08.2012 (0)
  11. Unbekannte Datei, Schadsoftware enthalten?
    Antiviren-, Firewall- und andere Schutzprogramme - 22.10.2011 (4)
  12. UnHackMe - neue .sys datei bei jedem reboot
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (4)
  13. Bei jedem Systemstart wird nach eine in Quarantäne geschickte DLL-Datei gefragt
    Plagegeister aller Art und deren Bekämpfung - 25.05.2011 (68)
  14. Scareware-Welle schwappte durch Twitter
    Nachrichten - 21.01.2011 (0)
  15. PC (ein anderer)
    Log-Analyse und Auswertung - 26.08.2008 (1)
  16. Die neue Welle kommt
    Plagegeister aller Art und deren Bekämpfung - 01.05.2006 (1)

Zum Thema Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei - Hallo alle zusammen, ich weiß nicht, ob das hier die richtige Stelle ist :-) Mich interessiert einfach, ob euch diese Welle auch schon aufgefallen ist und wie ihr damit umgeht? - Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei...
Archiv
Du betrachtest: Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.