M
MSCom
Neuer Benutzer
Threadstarter
- Dabei seit
- 20.09.2016
- Beiträge
- 1
Wir haben Windows 8.1 im Einsatz und den Windows Defender aktiviert.
In letzter Zeit werden wir mit immer besser gemachten Mails mit .doc-Makrovirenanhang bombardiert, die meistens angeblich von uns bekannten Absendern stammen. Die meisten Viren sind grade mal 1h alt und gingen größtenteils durch unsere 3 unterschiedlichen Virenscanner durch, Virustotal-Erkennungsquote etwa 7-12 von 55.
Wir lassen daher seit einiger Zeit .DOC-Anhänge von unserem Mailgateway entfernen und benennen so ziemlich auch alle anderen Anhänge mit Virenpotential um.
Um zu analysieren, ob das ein gezielter Angriff gegen uns ist und um zu sehen, ob die Quell-Ip ein Muster erkennen lässt, lade ich die betroffenen Mails per Webclient von einem Zwischenspeicher herunter und übermittle diese an Virustotal. Dort kann man sich die Einzelheiten des Doc`s gefahrlos ansehen und trägt damit auch noch zur Verbreitung dieser Virensignatur unter den Virenherstellern bei.
Oftmals bin ich der erste Übermittler der Viren.
Viele der Zero-Day-Viren erkennt Windows Defender nicht, manche aber schon.
Und hier kommt der Punkt, den ich nicht verstehe. Wenn ich den Anhang direkt anklicke, wird anscheinend im Hintergrund von Firefox schon ein Download in einen Cache-Ordner mit der Dateiendung .Part gestartet, noch bevor der Downloaddialog abgeschlossen ist. Diese Part-Datei wird vom Defender entdeckt, gemeldet und im Verlauf geloggt (wenn die Virensignatur bekannt ist).
Ich habe allerdings beim Defender den Dateityp ".Warnung" als ausgeslossen definiert. Ich lade den doc-Anhang mit "Ziel Speichern unter" auf die lokale Festplatte und speichere den Virus mit der Endung .Warnung, damit Defender nicht zuschlägt. Das klappt auch augenscheinlich.
Das Komische:
Wenn der Virus dem Windows Defender bekannt ist, verschwindet die heruntergeladene .Warnung - Datei völlig kommentarlos und ohne Verlauf-Eintrag einfach aus dem Windows Explorer. Manchmal ist die Datei noch da, hat aber 0 byte. In keinem Fall erfolgt ein Hinweis durch Defender, was passiert ist und im Verlauf ist auch nichts erkennbar. Manchmal ist sie noch da, und wenn ich die Datei auf die Virustotal-Seite ziehe, friert dieser ein oder der Upload scheitert, weil die Datei dann genullt wird oder verschwindet.
Ich kann mir das Verhalten nicht erklären, da ich Defender doch angewiesen habe, .Warnung-Dateien zu ignorieren?
In letzter Zeit werden wir mit immer besser gemachten Mails mit .doc-Makrovirenanhang bombardiert, die meistens angeblich von uns bekannten Absendern stammen. Die meisten Viren sind grade mal 1h alt und gingen größtenteils durch unsere 3 unterschiedlichen Virenscanner durch, Virustotal-Erkennungsquote etwa 7-12 von 55.
Wir lassen daher seit einiger Zeit .DOC-Anhänge von unserem Mailgateway entfernen und benennen so ziemlich auch alle anderen Anhänge mit Virenpotential um.
Um zu analysieren, ob das ein gezielter Angriff gegen uns ist und um zu sehen, ob die Quell-Ip ein Muster erkennen lässt, lade ich die betroffenen Mails per Webclient von einem Zwischenspeicher herunter und übermittle diese an Virustotal. Dort kann man sich die Einzelheiten des Doc`s gefahrlos ansehen und trägt damit auch noch zur Verbreitung dieser Virensignatur unter den Virenherstellern bei.
Oftmals bin ich der erste Übermittler der Viren.
Viele der Zero-Day-Viren erkennt Windows Defender nicht, manche aber schon.
Und hier kommt der Punkt, den ich nicht verstehe. Wenn ich den Anhang direkt anklicke, wird anscheinend im Hintergrund von Firefox schon ein Download in einen Cache-Ordner mit der Dateiendung .Part gestartet, noch bevor der Downloaddialog abgeschlossen ist. Diese Part-Datei wird vom Defender entdeckt, gemeldet und im Verlauf geloggt (wenn die Virensignatur bekannt ist).
Ich habe allerdings beim Defender den Dateityp ".Warnung" als ausgeslossen definiert. Ich lade den doc-Anhang mit "Ziel Speichern unter" auf die lokale Festplatte und speichere den Virus mit der Endung .Warnung, damit Defender nicht zuschlägt. Das klappt auch augenscheinlich.
Das Komische:
Wenn der Virus dem Windows Defender bekannt ist, verschwindet die heruntergeladene .Warnung - Datei völlig kommentarlos und ohne Verlauf-Eintrag einfach aus dem Windows Explorer. Manchmal ist die Datei noch da, hat aber 0 byte. In keinem Fall erfolgt ein Hinweis durch Defender, was passiert ist und im Verlauf ist auch nichts erkennbar. Manchmal ist sie noch da, und wenn ich die Datei auf die Virustotal-Seite ziehe, friert dieser ein oder der Upload scheitert, weil die Datei dann genullt wird oder verschwindet.
Ich kann mir das Verhalten nicht erklären, da ich Defender doch angewiesen habe, .Warnung-Dateien zu ignorieren?