Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: Malware/Trojaner Sophos-Logfile

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 21.04.2021, 09:45   #1
schmik
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Hallo Gemeinde,

gestern ist es in der täglichen Hektik passiert, dass wir eine doc-Datei (in passwortgeschützter zip-Datei) entpackt haben und auch noch auf Nachfrage die Makros aktiviert

Die große Frage ist nun, ob die Aktion/das Makro soweit durchlief, dass die Datei aus dem Netz gezogen wurde. Auf dem Rechner (hängt im Netzwerk) läuft lokal Sophos Endpoint Security and Control. Seitens Sophos gab es keine Meldung. Auch keine Objekte in Quarantäne. Ein manueller Scan ergab ebenfalls nichts. Zusätzlich wurde auch noch ein Scan mit dem WindowsDefender durchgeführt. Ebenfalls keine Bedrohung gefunden. Und zu guter Letzt noch ein Scan mit Malwarebytes. Ebenfalls keine Elemente gefunden.

Die Durchsicht der laufenden Prozesse zeigte keine auffälligen Programme.
Auch die Durchsicht der Inhalte der potentiellen Ordner (Windows Temp, AppData Local etc.) sind nicht auffällig.

Für mich stellt sich nun folgende Frage:

1. Wurde der durch das Makro gestartete Zugriff auf das Netz durch Sophos detektiert und unterbunden?
2. Wenn Sophos die Aktion erkannt haben sollte: Wo finde ich in den LogFiles einen Indiz hierfür?

Betreffend der doc-Datei ist es so, dass diese von der Machart dem ursnif gleichkommt.


Ich danke euch im voraus für eure Hilfe.

MfG

Alt 21.04.2021, 10:08   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Zitat:
1. Wurde der durch das Makro gestartete Zugriff auf das Netz durch Sophos detektiert und unterbunden?
2. Wenn Sophos die Aktion erkannt haben sollte: Wo finde ich in den LogFiles einen Indiz hierfür?
Wie denn wenn nichts erkannt wurde?
Die Makros wurden von dir aktiviert, also kannst du auch davon ausgehen, dass die ausgeführt wurden.


Mehr kann hier niemand sagen, weil du weder Logfiles noch Infos über die DOC-Datei gepostet hast.
__________________

__________________

Alt 21.04.2021, 10:35   #3
schmik
 
Malware/Trojaner Sophos-Logfile - Böse

Malware/Trojaner Sophos-Logfile



Hallo,

mir ist bewusst dass durch Aktivierung der Bearbeitung und Inhalte das Makro/die Makros angestoßen werden. Ich frage mich nur, ob Sophos die Bedrohung erkennt, wenn dann etwas heruntergeladen wird und ins Netz will?

Mich wundert es sehr, dass alle Tools keine Elemnte auf dem Rechner finden.
Wenn durch die Aktivierung der Inhalte wirklich Makros ausgeführt worden sind und im Hintergrund entsprechende Files heruntergeladen (und anschließend ggf. in exe umbenannt) worden wären die anschließend ins Netz senden, dann sollte Sophos dies erkennen. Oder denke ich so oberflächlich?

Leider lässt sich im Nachfeld die einzelnen Zugriffe ins Netz nicht auslesen, oder? Dann könnte ich sehen, ob und was gestern alles an IPs "angesprochen" wurde.
__________________

Alt 21.04.2021, 11:09   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Zitat:
Ich frage mich nur, ob Sophos die Bedrohung erkennt, wenn dann etwas heruntergeladen wird und ins Netz will?
Wenn die Malware bekannt ist. Wie Virenscanner funktionieren wirst du doch sicher wissen.


Zitat:
die anschließend ins Netz senden, dann sollte Sophos dies erkennen. Oder denke ich so oberflächlich?
Wieso soll ein Virenscanner erkennen ob etwas ins Netz sendet. Du versechselst hier die Aufgabe eines Paketfilters mit der eines Virenscanners.

Alt 21.04.2021, 11:46   #5
schmik
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Ok. In dem Fall kann ich mich weder auf das Scan Ergebnis von Sophos oder Malwarebyte verlassen

Somit also keine Chance als den PC clean aufzusetzen?


Alt 21.04.2021, 12:37   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Ich weiß nicht was du überhaupt vorhast, was dein Ziel ist.
Falls du Angst hast, dass irgendwelche Daten abgeflossen sind, dann lässt sich das nicht mehr rückgängig machen. Auch eine Neuinstallation kann das nachträglich nicht ändern.
__________________
--> Malware/Trojaner Sophos-Logfile

Alt 21.04.2021, 12:47   #7
schmik
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Das ist klar, dass ich es nicht mehr rückgängig machen kann.

Mich würde jedoch interessieren, ob ich irgendwie ermitteln kann ob hier etwas lief.
Vielleicht bin ich nicht gerade der Profi, aber ich ging davon aus, dass durch das aktivieren der Makros erst die Malware heruntergeladen und gestartet wird. Somit hätte ich dies in den laufenden Prozessen doch auch sehen müssen...das hier ein "unbekannter" Prozess läuft *hmm

Ich habe die Makros vorhin auf einem alten Spielrechner ohne Netzzugang mal ausgeführt...und aufgefallen ist mir hierbei, dass eine Tabletable.hta unter ProgramData erstellt wurde.

Alt 21.04.2021, 12:49   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Ist dir in den Sinn gekommen, dass ohne Analyse deines Systems, überhaupt keine Chance ist, was zu erkennen? Wir haben keine Logs von deinem System und wissen auch nocht was das für eine DOC-Datei war. So kann doch nun echt niemand irgendwelche Aussagen treffen außer da kann was passiert sein oder nicht.

Alt 21.04.2021, 13:10   #9
schmik
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Ich verstehe deine Einwände. Was genau an Information wären hilfreich? Ich kann ja nicht sämtliche LogFiles hier hochladen :/

Zur doc-Datei (bitte nicht den Zeigefinger heben - ich weiß, dass alles mehr als eindeutig ist!):
Die wurde gestern von einer bekannten Addy per Mail erhalten. Es war eine request.zip und in der Mail bereits das Passwort für die kennwortgeschützte doc-Datei. Nach öffnen und Eingabe des Passworts war der Hinweis, dass das Dokument mit einer alten Version erstellt wurde und man Makros aktivieren soll. Das wurde von der Person auch getan �� Aufbau der Mail und Art der Datei ist identisch zum Ursnif-Trojaner.
Was dann alles im Hintergrund ablief ist nicht bekannt. Erst 3 Stunden später bekam ich die Info (viel zu spät). Und ich habe dann u.a. geschaut, ob auffällige Prozesse im Taskmanager laufen. Anschließend eben Defender (der war komischerweise nicht aktiv - nur Sophos war aktiv) laufen lassen und Malwarebytes. Diese haben nix entdeckt.

Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.

Alt 21.04.2021, 13:17   #10
M-K-D-B
/// TB-Ausbilder
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Zitat:
Zitat von schmik Beitrag anzeigen
Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.
Wenn eine Neuinstallation (mach das so schnell wie möglich und ändere alle Passwörter von einem anderen System aus) sowieso geplant ist, dann erübrigt sich eine Analyse mit unseren Tools.

Etwas in Erfahrung bringen kann man vielleicht, wenn man Experte im Bereich Malwareanalyse ist... und auch das ist limitiert. Als normaler Nutzer ist das reine Zeitverschwendung.

Alt 21.04.2021, 13:26   #11
schmik
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Experte bin ich zwar nicht, aber mich interessiert/beschäftigt trotz alledem ob und was Sophos ggf. entdeckt und ggf. "blockiert" hat. Das würde mir helfen und meine Akzeptanz betreffend der Wahl des Endpoint bestärken.

Was könnte ich mit welchen Tools analysieren?

Alt 21.04.2021, 13:37   #12
M-K-D-B
/// TB-Ausbilder
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Zitat:
Zitat von schmik Beitrag anzeigen
Experte bin ich zwar nicht, aber mich interessiert/beschäftigt trotz alledem ob und was Sophos ggf. entdeckt und ggf. "blockiert" hat. Das würde mir helfen und meine Akzeptanz betreffend der Wahl des Endpoint bestärken.
Was Sophos ggf. entdeckt bzw. blockiert hast, findest du in den Berichten/Logdateien/etc. von Sophos selbst.



Zitat:
Zitat von schmik Beitrag anzeigen
Was könnte ich mit welchen Tools analysieren?
Wir nutzen hier "nur" Tools zum Aufspühren und Entfernen von Malware.

Wir analysieren hier keine Malware.
Hersteller von Anti-Viren- bzw. Anti-Malwareprogrammen verwenden Analysetools für Malware... da geht es aber dann ans Eingemachte... diverse Programmiersprachen, Analyse des Codes, etc.
Das übersteigt sowohl deine als auch unsere Kompetenzen.


Du möchtest wissen, was ggf. die Malware alles gemacht hat bzw. macht, etc. Dabei können wir nicht helfen.



Daher mein Rat:
Sichere deine privaten Daten extern und führe eine saubere Neuinstallation durch.
Alles andere ist zeitlich sinnfrei und kompetenztechnisch unmöglich.

Alt 21.04.2021, 14:17   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware/Trojaner Sophos-Logfile - Icon32

Malware/Trojaner Sophos-Logfile



Zitat:
Zitat von schmik Beitrag anzeigen
Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.
Ich versteh doch immer noch nicht. Kein Tool hat irgendwas gefunden.
Du hast die DOC-Datei hier nicht hochgeladen und auch sonst keine Anhaltspunkte gebracht. Selbst wenn wir die DOC-Datei haben können wir wohl nur schwer bis garnicht irgendwelchen Code auseinderpflücken und analysieren was der macht. Das können nur Software-Ingeneure, die in AV-Labs zB bei Microsoft arbeiten. Was bitte sollen wir jetzt analysieren so komplett ohne Anhaltspunkte? Was genau soll das hier werden?

Alt 21.04.2021, 18:18   #14
schmik
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Hallo cosinus,

entschuldige, wenn ich keine zufrieden stellenden Infos biete. Ich bin neu hier und weiß nicht genau, was ich konkret zur Verfügung stellen soll.

Das gezippte doc-file kann ich doch hier nicht hochladen?!
Das die Makros enthält ist soweit klar. Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden. Jedoch auf einem offline-testrechner. Hier poppte gleich eine Meldung auf, dass das Skript die hta-Datei nicht finden kann (existiert hat diese jedenfalls...evtl. kam die Meldung, weil keine Internetverbindung existierte). Bei dem eigentlich betroffenen Rechner kam keine Meldung.

Die ganzen Sophos-Logs bin ich mal durchgegangen. Aber als Nicht-Experte aber eben auch schwer zu verstehen Nur soviel, dass Sophos sämtliche "normalen" Downloads entdeckt und gecheckt hat. Aber das versteht sich ja von selbst.

Alt 21.04.2021, 19:21   #15
M-K-D-B
/// TB-Ausbilder
 
Malware/Trojaner Sophos-Logfile - Standard

Malware/Trojaner Sophos-Logfile



Zitat:
Zitat von schmik Beitrag anzeigen
Das gezippte doc-file kann ich doch hier nicht hochladen?!
Doch, kannst du... unter "Zusätzliche Einstellungen" > "Anhänge verwalten" wenn du einen neuen Beitrag schreibst... einfach ein wenig nach unten scrollen.



Zitat:
Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden.
Das klingt ein wenig wie die neue Malware, die ich kürzlich entdeckt habe cosinus.



Sollen wir denn den eigentlich betroffenen Rechner auf Malware hin überprüfen, d. h. mal einen Blick auf das System werfen?

 

Themen zu Malware/Trojaner Sophos-Logfile
aktiviert, appdata, bedrohung, durchsicht, ebenfalls, erkannt, folge, folgende, guter, hängt, logfiles, lokal, nachfrage, netzwerk, ordner, potentielle, prozesse, rechner, scan, security, seite, sophos, temp, ursnif, zugriff, zusätzlich



Ähnliche Themen: Malware/Trojaner Sophos-Logfile


  1. Malware Bytes , logfile erhalten
    Log-Analyse und Auswertung - 02.10.2014 (9)
  2. Finanzamt Trojaner rechtzeitig von Sophos geblockt?
    Log-Analyse und Auswertung - 14.09.2014 (16)
  3. Sophos Sicherheitsbericht 2013 - Blackhole wird Malware-Marktführer
    Nachrichten - 05.12.2012 (0)
  4. Logfile nach Scan mit Malwarebytes Anti-Malware
    Log-Analyse und Auswertung - 27.07.2012 (1)
  5. Trojaner mit Sophos Anti-Rootkit "enfernt" - sicher?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (7)
  6. Verschlüsselung Trojaner - Anti-Malware und Logfile nicht möglich
    Log-Analyse und Auswertung - 09.07.2012 (9)
  7. HDD Smart Virus Malware Logfile
    Log-Analyse und Auswertung - 22.04.2012 (11)
  8. Sophos Scan hat Trojaner und Maleware gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.12.2011 (35)
  9. BKA Trojaner Malware Logfile
    Log-Analyse und Auswertung - 16.08.2011 (11)
  10. Logfile Auswertung nach Malware Protection
    Log-Analyse und Auswertung - 28.06.2011 (9)
  11. HijackThis logfile - Malware durch foto.exe
    Log-Analyse und Auswertung - 19.12.2010 (16)
  12. Malware Defense eingefangen - HiJack Logfile
    Log-Analyse und Auswertung - 03.01.2010 (5)
  13. Problem wegen Malware > Dazu HiJackThis Logfile
    Log-Analyse und Auswertung - 19.06.2009 (0)
  14. Logfile nach Malwarescan aufgrund Malware auf dem PC
    Plagegeister aller Art und deren Bekämpfung - 21.08.2008 (7)
  15. Logfile... verdacht auf Malware
    Log-Analyse und Auswertung - 28.11.2006 (5)
  16. Malware auf meinem PC - Bitte Logfile anschauen
    Log-Analyse und Auswertung - 02.03.2006 (3)
  17. Malware im HJT-Logfile
    Log-Analyse und Auswertung - 30.11.2005 (3)

Zum Thema Malware/Trojaner Sophos-Logfile - Hallo Gemeinde, gestern ist es in der täglichen Hektik passiert, dass wir eine doc-Datei (in passwortgeschützter zip-Datei) entpackt haben und auch noch auf Nachfrage die Makros aktiviert Die große Frage - Malware/Trojaner Sophos-Logfile...
Archiv
Du betrachtest: Malware/Trojaner Sophos-Logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.