Hallo cosinus,

entschuldige, wenn ich keine zufrieden stellenden Infos biete. Ich bin neu hier und weiß nicht genau, was ich konkret zur Verfügung stellen soll.

Das gezippte doc-file kann ich doch hier nicht hochladen?!
Das die Makros enthält ist soweit klar. Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden. Jedoch auf einem offline-testrechner. Hier poppte gleich eine Meldung auf, dass das Skript die hta-Datei nicht finden kann (existiert hat diese jedenfalls...evtl. kam die Meldung, weil keine Internetverbindung existierte). Bei dem eigentlich betroffenen Rechner kam keine Meldung.

Die ganzen Sophos-Logs bin ich mal durchgegangen. Aber als Nicht-Experte aber eben auch schwer zu verstehen Nur soviel, dass Sophos sämtliche "normalen" Downloads entdeckt und gecheckt hat. Aber das versteht sich ja von selbst.

Zitat:

Zitat von schmik

Das gezippte doc-file kann ich doch hier nicht hochladen?!

Doch, kannst du... unter "Zusätzliche Einstellungen" > "Anhänge verwalten" wenn du einen neuen Beitrag schreibst... einfach ein wenig nach unten scrollen.

Zitat:

Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden.

Das klingt ein wenig wie die neue Malware, die ich kürzlich entdeckt habe cosinus.



Sollen wir denn den eigentlich betroffenen Rechner auf Malware hin überprüfen, d. h. mal einen Blick auf das System werfen?

Ich würde sehr gern wissen wollen, was evtl. abgelaufen sein könnte. Auch insbesondere in Hinblick auf Sophos. Ich bin relativ ernüchtert darüber, dass auf dem Offline-Rechner der Defender sofort abgesprungen ist und das File in Quarantäne schickte.

Auf dem betroffenen Rechner hingegen kam (jedenfalls) für den Benutzer keine Reaktion seitens Sophos. Der Defender war deaktiviert. Warum, das kann ich nicht sagen. Vllt. weil ein externes Virenprogramm aktiv ist. Oder der Nutzer hat ihn bewusst deaktiviert.

Was steckt eigentlich hinter so einem hta-file direkt? Ist das eine neue Methodik?
Bisher kannte ich nur die Variante, dass die Malware als "Nicht-exe" heruntergeladen wird, sich in exe umbenennt und dann die Arbeit beginnt...somit auch bei den Prozessen auffällt.
Scheint hier aber was anderes zu sein.

Gern können wir den Rechner/das System analysieren
Ich kann die Logfiles von Sophos auch gern hier raufladen.

Das doc möchte ich ungern verbreiten. Aber die Codezeilen der Makros als Text wäre denkbar.


Wie machen wir weiter? Ich bin sehr lernwillig.