Goldeneye Trojaner gefährliche Mutation - Erfahrungen

TobiasChiCo

Hallo zusammen,

über den Goldeneye Trojaner wurde bereits viel berichtet. Heise Security hat darüber geschrieben, auch hier gab es einiges.

Die ursprüngliche Beschreibung lautete:
* Excel-Datei wird um "Bearbeitung aktivieren" bitten.

Es scheint eine Mutation zu geben, bei der das nicht der Fall ist.
An sich bin ich nicht naiv, was Trojaner angeht, aber folgendes war passiert:
1.) Wir hatten eine Stellenausschreibung für Softwareentwickler.
2.) Es kamen einige Bewerbungen, eine davon mit einem individualisierten (!) Anschreiben in der Mail selber, plus einem ordentlichen PDF samt Handynummer und Foto. In dem PDF ist die Firma erneut personalisiert und es wirkt alles eigentlich ok.
-- also denkt man: Entwickler sind ja manchmal etwas eigen, öffne ich das Excel, werde aber keine Makros oder Bearbeitung aktivieren, falls der Inhalt verdächtig ist.

==> PROBLEM: Keine Aufforderung, das Ding führt SOFORT Makros aus und infiziert das ganze System. Doppelklick und man ist chancenlos. Alle Dateien werden verschlüsselt.

Übrigens scheint die Reihenfolge der Verschlüsselung nach Dateityp zu laufen, erst Office Dokumente, dann PDF, dann andere.

IMPLIKATION:
------------------------
Überhaupt keine externen Office-Dokumente mehr öffnen, allgemein nur PDFs öffnen und hoffen, dass der nächste Trojaner nicht diese betrifft.
Ich hab jetzt eine neue Festplatte besorgt und mache gerade eine frische Windows-Installation (geringer Verlust, da ab und zu Backup, aber eben doch ein bisschen Verlust... verkraftbar).

FRAGEN:
-------------------------
Weiss jemand, ob der Trojaner über das Windows selber gesteuert wird oder sich über die infizierten Dateien weiterverbreitet?
Würde heissen: Falls über OS könnte man ja die infizierte Festplatte als externe Platte anschließen und selektiv die noch nicht infizierten Dateien herunterziehen.

* Habt ihr weitere Erfahrungen?

Danke Euch,
Tobias