Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bewerbungs-Email mit Trojaner im Anhang (https://www.trojaner-board.de/179799-bewerbungs-email-trojaner-anhang.html)

busch62 23.06.2016 12:06
Bewerbungs-Email mit Trojaner im Anhang
 
Hallo,

wir haben uns heute einen Trojaner eingefangen:
Eine e-Mail von einem gewissen Jan Vogel enthielt einen Anhang "Bewerbung.zip". Darin waren die beiden Dateien Bewerbung.doc.js und Lebenslauf.doc.js

Die Zip-Datei wurde leider geöffnet. Danach ließ sich zunächst Outlook und Word nicht mehr starten mit einer ganz kurz aufblitzenden Fehlermeldung, die man allerdings nicht lesen konnte, da sie zu kurz erschien.

Als Sofortmaßnahme wurde erstmal das gesamte Netzwerk heruntergefahren um zusätzlichen Schaden zu vermeiden.

Was empfehlt ihr jetzt als weiteres Vorgehen? Den betreffenden Rechner neu installieren? Was ist mit den anderen Clients im Netzwerk und mit dem Server? Wie stelle ich fest, ob die auch schon irgendwie befallen sind?

Hier sind die Ergebnisse von Virustotal bei der Datei Bewerbung.zip:
AVG JS/Downloader.Agent
AegisLab Archive.Malware.Fakeext!c
Comodo Heur.Dual.Extensions
Cyren JS/Agent.UN!Eldorado
DrWeb JS.DownLoader.1225
ESET-NOD32 JS/TrojanDownloader.Nemucod.AEV
F-Prot JS/Agent.UN!Eldorado
Fortinet JS/Nemucod.AAO!tr.dldr
GData Archive.Malware.FakeExt.N@susp
K7AntiVirus Trojan ( 004dfe6d1 )
K7GW Trojan ( 004dfe6d1 )
Sophos Troj/JSDldr-MI
Tencent Js.Trojan.Raas.Auto

Alle anderen haben nichts gefunden.

cosinus 23.06.2016 14:01
Zitat:
Was ist mit den anderen Clients im Netzwerk und mit dem Server? Wie stelle ich fest, ob die auch schon irgendwie befallen sind?
Das ist nicht das Problem. Das eigentlich Probleme bei einem ransom ist, dass der alle Dateien, die er zu fassen bekommt, versucht zu verschlüsseln. Sowohl auf der lokalen Platte, als auch Netzlaufwerke und auch nicht gemapte SMB-Freigaben zB von einem NAS oder Windows.

Wenn nur die ZIP geöffnet wurde, aber nicht eine der Dateien die darin verpackt lagen, dann ist auch kein Schaden entstanden.

busch62 23.06.2016 16:30
Eine der in der Zip verpackten Dateien ist geöffnet worden. Ich vermute auch, dass der schon angefangen hat mit dem Verschlüsseln.
Excel meldet z.B. beim Start, das irgendeine Konfig-Datei nicht lesbar sein. (Die genaue Meldung weiß ich jetzt nicht mehr. der Rechner ist natürlich monentan auch ausgeschaltet).

Könnte man denn mit anderen Clients und dem Server zur Zeit gefahrlos arbeiten? Falls da schon etwas verschlüsselt wurde, ist das ja nicht das Problem, dafür gibt es Backups. Ich will nur vermeiden, dass weiterer Schaden entsteht.

cosinus 24.06.2016 08:17
Wie gesagt, ransoms verschlüsseln idR nur, sie kompromittieren aber nicht das System auf dem sie ausgeführt wurden und schon garnicht Rechner remote. Wenn das alles so einfach ginge (Rechner remote infizieren) wie sich das viele in Panik/Hysterie immer vorstellen könnte man Windows nur noch in die Tonne treten...


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:17 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129