Don-DCH schrieb:
Uns erreichte eben eine Email angeblich von Amazon... Trotz meiner Warnhinweise, hat ein Familienmitglied diese EMail geöffnet mit dem Anhang.
Vielleicht solltet Ihr Euch mal Gedanken darüber machen, Mails grundsätzlich als "Plaintext" (Nur-Text) darstellen zu lassen, da erkennt man solche Fälschungen auch optisch nochmal deutlich schneller.
Allerdings in der Geschützten Ansicht.
Irrelevant. Ein eindeutig schadhafter Anhang wurde zur Ausführung gebracht, welche Sicherheitslücken dieser im Details ausnutzte, ist nicht bekannt, denn jede neue Version kann anders sein als eine zuvor analysierte oder in den Medien beschriebene. Somit ist die Folge klar, das System muss umgehend vom Netz getrennt werden, von einem sauberen System aus sind umgehend alle Passwörter zu ändern, die entweder auf dem kompromittierten System gespeichert waren, oder nach der Infektion von Benutzern manuell eingegeben wurden. Letztlich ist das betroffene System nach Auflösen der Partitionen neu aufzusetzen.
Den PC wollte ich die Tage neu machen, er besitzt noch kein Anti viren Programm.
Ob da nun ein AV-Programm drauf ist oder nicht, ist hinsichtlich der Frage, ob ein System beim Benutzerklick einer eindeutig schadhaften Datei infiziert wird oder nicht, heutzutage weitestgehend unbedeutend, denn erstens wird Malware durch deren Verbreiter zuvor hinsichtlich der Erkennung durch Virenscanner vorgetestet und so lange angepasst, bis sie nicht mehr oder nur kaum erkannt wird, zweitens erfolgt eine derart massenhafte und gestreute Verbreitung, dass neue Malware durch Virenscanner alleine durch die schiere Masse an neuen Schädlingen, wenn, dann nur zeitverzögert, erkannt wird.
Deutlich entscheidender ist, hier in Bezug auf solche Mails, das Nichtklicken durch den Benutzer.
Das ist der Schutz, der funktioniert. Und nicht das Glücksroulette durch Virenscanner.
Leider finde ich nichts, was die DOCM anrichtet.
"dcom" an sich ist keine Malware. Das ist erstmal nur eine Dateiendung, anhand derer ihr Inhalt mittels eines zugewiesenen Programmes interpretiert wird. Ihr Inhalt ist der springende Punkt. Dieser wird bei dieser Malware - in der Regel - dazu genutzt, als Downloader für Malware zu fungieren. Daher kann man auch nicht exakt sagen, welcher Schaden daraus resultiert, denn die Art der nachgeladenen Malware kann wenige Minuten später plötzlich eine andere sein als noch kurz zuvor.
Kennt jemand eine Seite wo man dazu eventuell etwas findet?
Das bringt Dir ja letztlich nicht die notwendige Sicherheit, denn so eine Beschreibung bezieht sich immer nur auf dort analysierte Schaddatei. Jedoch gibt es erstens stündlich etliche neue Varianten, die von der einen untersuchten abweichen können, zweitens werden die nachzuladenen Schaddateien ebenfalls immer wieder ausgetauscht. Eine notwendigerweise sichere Schlussfolgerung ist somit nicht möglich.
Denkt Ihr der Rechner ist infiziert?
Er ist kompromittiert, das heißt, in einem nicht mehr vertrauenswürdigen Zustand, da ganz klar eine schadhafte Datei zur Ausführung gelangte. Was danach passierte, ist in weiten Teilen nicht mehr hinreichend sicher nachvollziehbar. Daher muss das System in diesem Zustand weiterhin vom Netzwerk getrennt bleiben. Die bereits geplante Neuinstallation ist vorzuziehen.
Habe Ihn direkt vom Netzwerk getrennt.
Das war auch völlig richtig.
Schiebe ich zu sehr Panik, oder könnte das Netzwerk betroffen sein?
Natürlich kann das passieren, wenn man Malware ausführt.
Das, was Du bereits gemacht hast: Offline nehmen. Und das, was Du ohnehin schon geplant hast: Neu aufsetzen.
Die Datei Speichern und auf einer Virenseite hochladen?
Du meinst vielleicht das Hochladen der Datei(en) auf einer Malware-"Analyse"-Seite wie ansatzweise virustotal.com/de. Das ändert allerdings auch nichts an dem Umstand der bereits ausgeführten Datei.
Egon82 schrieb:
Wurde der Anhang in Word mit aktivierten Makros geöffnet? Wenn nein würde ich mir nicht allzu viele Sorgen machen.
Es wäre fatal, diesem Rat zu folgen, denn es kann auch ein Exploit enthalten sein.
Jokeboy schrieb:
Wenn das Makro ausgeführt worden ist, dann formatieren und neu aufsetzen - eventuell Backup machen im abgesicherten Modus.
Nein. Ein Backup im abgesicherten Modus ist natürlich nicht zu empfehlen, denn ein abgesicherter Modus garantiert nicht die Inaktivität installierter Malware. Wenn man noch Daten von einem als kompromittiert anzusehenden System anfertigen möchte, dann ausschließlich von einem unabhängigen Live-System aus.
Don-DCH schrieb:
Lasse gerade eine Live CD laufen gegen Viren und morgen noch eine + Anti Malewarebytes. Zur Sicherheit.
Nein. "Zur Sicherheit" ist das nicht, wenn Du die Resultate der Scans als relevante Grundlage bezüglich der Einstufung "
System kompromittiert" oder "
System nicht kompromittiert" verwenden würdest. Das relevante, entscheidende Kriterium ist...
Auf den Anhang wurde ein Doppelklick verübt,
... dieses.
daraufhin starteete Word 2013 in der Geschützen Ansicht" Ob das Makro ausgeführt wurde explizit glaube ich nicht.
Was eher ein Wunschdenken darstellt.
Werde den Rechner dann auch direkt neu aufsetzen.
Prima.
d4nY schrieb:
Wenn an den Einstellungen vom Office nix geändert wurde, dann werden Makros erst einmal nicht ausgeführt bzw. müssen explizit bestätigt werden. Wenn das nicht gemacht wurde dann gibt's keine Probleme.
Diese Aussage ist falsch, weil man davon ausgehen muss, dass Malware-Varianten auch Exploits beinhalten, also Sicherheitslücken in Word ausnutzen, die von Makros unabhängig sind.
purzelbär schrieb:
Grob fahrlässig einen Windows PC mit Internet ohne ein Virenschutz Programm zu benutzen.
Wie geschrieben, vor allem in den ersten Stunden und teils Tagen der Verbreitung neuer Malware können AV-Programme kaum zuverlässig schützen, hier ist vielmehr der Nutzer hinsichtlich seiner Programmkonfiguration (Plaintext) und seines Klickverhaltens gefragt.
Bei Windows 8.1 und 10 ist ja der Windows Defender Virenschutz Bestandteil von Windows und wenn der aktiviert war, hättest du ja einen Virenschutz gehabt.
Nicht wirklich. Dazu hier mal eine Variante:
->
https://www.virustotal.com/de/file/...20e611ef2711a53db797379dc19974d27d0/analysis/
SHA256: 71b5337c17e0b9e2f1cde3d13acc820e611ef2711a53db797379dc19974d27d0
Dateiname: 40d75efb6_5224780.docm
Erkennungsrate: 12 / 55
Analyse-Datum: 2016-05-04 15:14:22 UTC ( vor 7 Stunden, 27 Minuten )
Antivirus Ergebnis Aktualisierung
AhnLab-V3 W97M/Downloader 20160504
Arcabit HEUR.VBA.Trojan.d 20160504
Avira (no cloud) W2000M/Dldr.Agent.aagg 20160504
Cyren PP97M/Downldr.AE.gen 20160504
ESET-NOD32 VBA/TrojanDownloader.Agent.BAJ 20160504
F-Prot PP97M/Downldr.AE.gen 20160504
Ikarus Trojan-Downloader.VBA.Agent 20160504
McAfee W97M/Downloader!04200C43BA12 20160504
Panda O97M/Downloader 20160504
Symantec W97M.Downloader 20160504
TrendMicro W2KM_DLOADR.BYX 20160504
TrendMicro-HouseCall W2KM_DLOADR.BYX 20160504
[...]
Die anderen, mit Ausnahme der zitierten Scanner, erkannten die Malware am Nachmittag nicht.
Wenn du den PC eh neu machen willst, installiere zeitnah ein Virenschutz Programm
Was allerdings im entscheidenden Moment nicht zwangsläufig den entscheidenden Vorteil bringt. Ein AV-Programm kann nur einen sehr kleinen Anteil eines etwaigen Schutzes darstellen, er wird vielfach fataler Weise überbewertet, mit der Folge von Risikokompensation durch die Benutzer.
und wenn er eingerichtet und sauber ist, fang an und mache auf eine externe USB Festplatte regelmässig Systembackups.
ACK, am besten verteilt in Mehrfachkopie auf unterschiedlichen externen Datenträgern, von denen mindestens einer als eine Art "Basis-Backup" dienen sollte.
