Malware/Trojaner Sophos-Logfile
 

Hallo Gemeinde,

gestern ist es in der täglichen Hektik passiert, dass wir eine doc-Datei (in passwortgeschützter zip-Datei) entpackt haben und auch noch auf Nachfrage die Makros aktiviert :(

Die große Frage ist nun, ob die Aktion/das Makro soweit durchlief, dass die Datei aus dem Netz gezogen wurde. Auf dem Rechner (hängt im Netzwerk) läuft lokal Sophos Endpoint Security and Control. Seitens Sophos gab es keine Meldung. Auch keine Objekte in Quarantäne. Ein manueller Scan ergab ebenfalls nichts. Zusätzlich wurde auch noch ein Scan mit dem WindowsDefender durchgeführt. Ebenfalls keine Bedrohung gefunden. Und zu guter Letzt noch ein Scan mit Malwarebytes. Ebenfalls keine Elemente gefunden.

Die Durchsicht der laufenden Prozesse zeigte keine auffälligen Programme.
Auch die Durchsicht der Inhalte der potentiellen Ordner (Windows Temp, AppData Local etc.) sind nicht auffällig.

Für mich stellt sich nun folgende Frage:

1. Wurde der durch das Makro gestartete Zugriff auf das Netz durch Sophos detektiert und unterbunden?
2. Wenn Sophos die Aktion erkannt haben sollte: Wo finde ich in den LogFiles einen Indiz hierfür?

Betreffend der doc-Datei ist es so, dass diese von der Machart dem ursnif gleichkommt.


Ich danke euch im voraus für eure Hilfe.

MfG

Wie denn wenn nichts erkannt wurde?
Die Makros wurden von dir aktiviert, also kannst du auch davon ausgehen, dass die ausgeführt wurden.


Mehr kann hier niemand sagen, weil du weder Logfiles noch Infos über die DOC-Datei gepostet hast.

Hallo,

mir ist bewusst dass durch Aktivierung der Bearbeitung und Inhalte das Makro/die Makros angestoßen werden. Ich frage mich nur, ob Sophos die Bedrohung erkennt, wenn dann etwas heruntergeladen wird und ins Netz will?

Mich wundert es sehr, dass alle Tools keine Elemnte auf dem Rechner finden.
Wenn durch die Aktivierung der Inhalte wirklich Makros ausgeführt worden sind und im Hintergrund entsprechende Files heruntergeladen (und anschließend ggf. in exe umbenannt) worden wären die anschließend ins Netz senden, dann sollte Sophos dies erkennen. Oder denke ich so oberflächlich?

Leider lässt sich im Nachfeld die einzelnen Zugriffe ins Netz nicht auslesen, oder? Dann könnte ich sehen, ob und was gestern alles an IPs "angesprochen" wurde.

Wenn die Malware bekannt ist. Wie Virenscanner funktionieren wirst du doch sicher wissen.


Wieso soll ein Virenscanner erkennen ob etwas ins Netz sendet. Du versechselst hier die Aufgabe eines Paketfilters mit der eines Virenscanners.

Ok. In dem Fall kann ich mich weder auf das Scan Ergebnis von Sophos oder Malwarebyte verlassen :(

Somit also keine Chance als den PC clean aufzusetzen?

Ich weiß nicht was du überhaupt vorhast, was dein Ziel ist.
Falls du Angst hast, dass irgendwelche Daten abgeflossen sind, dann lässt sich das nicht mehr rückgängig machen. Auch eine Neuinstallation kann das nachträglich nicht ändern.

Das ist klar, dass ich es nicht mehr rückgängig machen kann.

Mich würde jedoch interessieren, ob ich irgendwie ermitteln kann ob hier etwas lief.
Vielleicht bin ich nicht gerade der Profi, aber ich ging davon aus, dass durch das aktivieren der Makros erst die Malware heruntergeladen und gestartet wird. Somit hätte ich dies in den laufenden Prozessen doch auch sehen müssen...das hier ein "unbekannter" Prozess läuft *hmm

Ich habe die Makros vorhin auf einem alten Spielrechner ohne Netzzugang mal ausgeführt...und aufgefallen ist mir hierbei, dass eine Tabletable.hta unter ProgramData erstellt wurde.

Ist dir in den Sinn gekommen, dass ohne Analyse deines Systems, überhaupt keine Chance ist, was zu erkennen? Wir haben keine Logs von deinem System und wissen auch nocht was das für eine DOC-Datei war. So kann doch nun echt niemand irgendwelche Aussagen treffen außer da kann was passiert sein oder nicht.

Ich verstehe deine Einwände. Was genau an Information wären hilfreich? Ich kann ja nicht sämtliche LogFiles hier hochladen :/

Zur doc-Datei (bitte nicht den Zeigefinger heben - ich weiß, dass alles mehr als eindeutig ist!):
Die wurde gestern von einer bekannten Addy per Mail erhalten. Es war eine request.zip und in der Mail bereits das Passwort für die kennwortgeschützte doc-Datei. Nach öffnen und Eingabe des Passworts war der Hinweis, dass das Dokument mit einer alten Version erstellt wurde und man Makros aktivieren soll. Das wurde von der Person auch getan �� Aufbau der Mail und Art der Datei ist identisch zum Ursnif-Trojaner.
Was dann alles im Hintergrund ablief ist nicht bekannt. Erst 3 Stunden später bekam ich die Info (viel zu spät). Und ich habe dann u.a. geschaut, ob auffällige Prozesse im Taskmanager laufen. Anschließend eben Defender (der war komischerweise nicht aktiv - nur Sophos war aktiv) laufen lassen und Malwarebytes. Diese haben nix entdeckt.

Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.

Wenn eine Neuinstallation (mach das so schnell wie möglich und ändere alle Passwörter von einem anderen System aus) sowieso geplant ist, dann erübrigt sich eine Analyse mit unseren Tools.

Etwas in Erfahrung bringen kann man vielleicht, wenn man Experte im Bereich Malwareanalyse ist... und auch das ist limitiert. Als normaler Nutzer ist das reine Zeitverschwendung.

Experte bin ich zwar nicht, aber mich interessiert/beschäftigt trotz alledem ob und was Sophos ggf. entdeckt und ggf. "blockiert" hat. Das würde mir helfen und meine Akzeptanz betreffend der Wahl des Endpoint bestärken.

Was könnte ich mit welchen Tools analysieren?

Was Sophos ggf. entdeckt bzw. blockiert hast, findest du in den Berichten/Logdateien/etc. von Sophos selbst.



Wir nutzen hier "nur" Tools zum Aufspühren und Entfernen von Malware.

Wir analysieren hier keine Malware.
Hersteller von Anti-Viren- bzw. Anti-Malwareprogrammen verwenden Analysetools für Malware... da geht es aber dann ans Eingemachte... diverse Programmiersprachen, Analyse des Codes, etc.
Das übersteigt sowohl deine als auch unsere Kompetenzen.

Du möchtest wissen, was ggf. die Malware alles gemacht hat bzw. macht, etc. Dabei können wir nicht helfen. ;)



Daher mein Rat:
Sichere deine privaten Daten extern und führe eine saubere Neuinstallation durch.
Alles andere ist zeitlich sinnfrei und kompetenztechnisch unmöglich.

Ich versteh doch immer noch nicht. Kein Tool hat irgendwas gefunden.
Du hast die DOC-Datei hier nicht hochgeladen und auch sonst keine Anhaltspunkte gebracht. Selbst wenn wir die DOC-Datei haben können wir wohl nur schwer bis garnicht irgendwelchen Code auseinderpflücken und analysieren was der macht. Das können nur Software-Ingeneure, die in AV-Labs zB bei Microsoft arbeiten. Was bitte sollen wir jetzt analysieren so komplett ohne Anhaltspunkte? Was genau soll das hier werden?

Hallo cosinus,

entschuldige, wenn ich keine zufrieden stellenden Infos biete. Ich bin neu hier und weiß nicht genau, was ich konkret zur Verfügung stellen soll.

Das gezippte doc-file kann ich doch hier nicht hochladen?!
Das die Makros enthält ist soweit klar. Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden. Jedoch auf einem offline-testrechner. Hier poppte gleich eine Meldung auf, dass das Skript die hta-Datei nicht finden kann (existiert hat diese jedenfalls...evtl. kam die Meldung, weil keine Internetverbindung existierte). Bei dem eigentlich betroffenen Rechner kam keine Meldung.

Die ganzen Sophos-Logs bin ich mal durchgegangen. Aber als Nicht-Experte aber eben auch schwer zu verstehen:( Nur soviel, dass Sophos sämtliche "normalen" Downloads entdeckt und gecheckt hat. Aber das versteht sich ja von selbst.

Doch, kannst du... unter "Zusätzliche Einstellungen" > "Anhänge verwalten" wenn du einen neuen Beitrag schreibst... einfach ein wenig nach unten scrollen.



Das klingt ein wenig wie die neue Malware, die ich kürzlich entdeckt habe cosinus. :D



Sollen wir denn den eigentlich betroffenen Rechner auf Malware hin überprüfen, d. h. mal einen Blick auf das System werfen? ;)

Ich würde sehr gern wissen wollen, was evtl. abgelaufen sein könnte. Auch insbesondere in Hinblick auf Sophos. Ich bin relativ ernüchtert darüber, dass auf dem Offline-Rechner der Defender sofort abgesprungen ist und das File in Quarantäne schickte.

Auf dem betroffenen Rechner hingegen kam (jedenfalls) für den Benutzer keine Reaktion seitens Sophos. Der Defender war deaktiviert. Warum, das kann ich nicht sagen. Vllt. weil ein externes Virenprogramm aktiv ist. Oder der Nutzer hat ihn bewusst deaktiviert.

Was steckt eigentlich hinter so einem hta-file direkt? Ist das eine neue Methodik?
Bisher kannte ich nur die Variante, dass die Malware als "Nicht-exe" heruntergeladen wird, sich in exe umbenennt und dann die Arbeit beginnt...somit auch bei den Prozessen auffällt.
Scheint hier aber was anderes zu sein.

Gern können wir den Rechner/das System analysieren ;)
Ich kann die Logfiles von Sophos auch gern hier raufladen.

Das doc möchte ich ungern verbreiten. Aber die Codezeilen der Makros als Text wäre denkbar.


Wie machen wir weiter? Ich bin sehr lernwillig.

Ich versteh dieses ganze Herumgeeier von dir nicht mehr. Vorhin sagtest du noch du willst auf jeden Fall den rechner neu aufsetzen. Jetzt kommt wieder ein neuer Thread von dir und keiner weiß mehr was du eigentlich willst. Ist das coronabedingte Langeweile bei dir?

Ich habe bisher nicht Herumgeeiert und langweilig ist mir auch nicht!
Hatte bereits zum Anfang erwähnt, dass ich gern wissen will was abgelaufen ist und ob Sophos was registriert hat oder nicht. Würde zu gern das Nachvollziehen und der Rechner ist jetzt sowieso on-Hold.

Ich werde ihn dann schon neu aufsetzen, um safe zu sein. Aber das passiert nicht in den nächsten Tagen. Und weshalb den jetzigen Zustand nicht nutzen. Dann weiß ich evtl. auch, ob das neue System wieder mit Sophos oder einem anderen AV-Programm ausgestattet wird.

Tut mir Leid, wenn ich mit jedem Post deinen Unmut auf mich ziehe.

Sieht mir auch etwas nach coronabedingeter Langeweile aus. Ansonsten sehe ich die ganze Geschichte im kommerziellen Umfeld. Dafür sind die Admins des Vereins zuständig.
Um zu sehen, was hier Phase ist, wäre ein Hochladen der Datei zu Virustotal eine Option.

Ich sehe das mittlerweile ähnlich.

Einerseits wird von einer Neuinstallation gesprochen, andererseits möchte man wissen, was die Malware macht, obwohl die Voraussetzungen dafür einfach nicht vorliegen. Konkrete Informationen möchte man aber auch nicht preisgeben.

Wieso sollte der TO uns diese Info weitergeben? Wenn er Informationen hätte weitergeben wollen, wäre das doch schon längst geschehen. ;)

Ich hatte ja mehrfach gebeten mir zu sagen, was für Informationen Ihr benötigt!
Ich verstehe die Kritik gerade nicht.

Ich werde morgen die gezipte doc-Datei mit dem Kennwort posten.
Soll ich alle gefundenen Logfiles hier aufspielen? Oder nur bestimmte?

*hmm

Wir wollen die Datei nicht, Du sollst sie nach virustotal hochladen und uns das Ergebnis posten. Schreiben wir so undeutlich?

Du hättest hier mal die Hinweise für Hilfesuchende lesen können. Oder ist das zuviel verlangt, als Hilfesuchender die FAQ zu beachten?
Dir wurde gesagt, dass ohne Infos nix gesagt werden kann außer kann sein oder kann nicht sein.

Aber das Thema ist eh durch. Du willst eine Neuinstallation machen.

Fassen wir zusammen:


1.
An einer Bereinigung bist du nicht interessiert, also können wir nicht helfen.

2.
Es fehlen Kenntnisse zur Analyse von Malware, also ist das sinnfrei.

3.
Informationen willst du nicht bereitstellen, also können wir nicht helfen.

4.
Du möchtest eine Neuinstallation durchführen. Dann mach das.



Hier ist jetzt Schluss. Thema beendet.