ComputerBase Menü
Aktuelles

Achtung - Virus

Firmenrechner -> kompromitiert -> Neuinstallation

sry, aber im Geschäftsumfeld gibt es keine wenn und aber .... privat kannst du die ganzen Tools probieren und villeicht den Rechner wieder vertrauen, aber nicht im Firmenbereich.


Installier neu, spiel die Backups ein und dann hat sich die Sache.
 
erschreckend die Erkennungsrate, wo doch der Versuch mit der fake Telefonrechnung schon lange publik ist.
 
was hat das alte Prinzip "Fake" etc. mit der Nichterkennung "minütlich" wechselnder Malware.exe'n zu tun ?
für die Verbreitung neuer Malware ist das freie Internet doch da, vor allem, wenn man wegen fehlender "Hardware"-Ausstattung ins Kino muss... :D

oder in solchen freien Firmen, wo die Freundin auf dem Bürorechner mal Videos guckt...
fehlt bloss noch der Einsatz von FREEware, weil der Rechner ja auch privat genutzt wird...

hätten sie denn wenigstens mal privat auf den seit Tagen warnenden Seiten der Telekom-Analyse gesurft, statt o.g ... :D
 
Gleipnir schrieb:
Glaube kaum das die wirklich echt aussieht. Man bekommt doch keine außerplanmäßige Rechnung, der Betreff sieht seit Jahren gleich aus (RechnungOnline Monat XXXX (Buchungskonto: "Kundennummer"), in der Mail wird man persönlich angesprochen, die Rechnungssumme genannt und der Name der zip sieht auch schon seit Jahren gleich aus (Jahr-Monat-Rechnung-Kundennummer).
Zum Vergrößern anklicken....

Fünf Dinge von dir, fünf mal anders bei mir:

1. kam gestern auch noch die planmäßige Rechnung.

2. ist der Betreff der April Rechnung:
"Ihre Telekom Mobilfunk RechnungOnline für April 2014"
Also nichts mit Buchungskonto oder Kundennummer im Betreff...

3. Gabs im April auch keine persönliche Anrede:
" Sehr geehrte Kundin, sehr geehrter Kunde, Ihre neue Mobilfunk-Rechnung mit der Rechnungsnummer xxx..."

4. die Rechnungssumme wurde bei der Fakeemail genannt.

5. Die .ZIP heißt "monatsuebersicht.zip" und nicht Jahr-Monat.Rechnung-Kundennummer.

Suxxess schrieb:
@Luxuspur


Sollte die Firmendatenbank auf dem Computer der Sekretärin laufen, dann hättest du Recht...andernfalls ist das Unsinn. :rolleyes: Und ich hoffe mal nicht, dass die Firmendatenbank auf dem Rechner der Sekretärin läuft.
Zum Vergrößern anklicken....

Die Datenbank liegt aufm Server.

emlyn d. schrieb:
Hallo,
der Startaufruf des Schädlings folgt diesem Strickmuster(läuft also problemlos auch ohne Adminrechte):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
{pseudo-zufällig}.exe = %APPDATA%\Microsoft\{pseudo-zufällig}.exe

In einem FRST-Log sieht das dann unter XP z.B. so aus:
HKU\S-1-5-21-1060284298-1604221776-839522115-1010\...\Run: [arhwindows.exe] => C:\Dokumente und Einstellungen\abc\Anwendungsdaten\Microsoft\arhwindows.exe [131072 2004-08-04] ()

Lässt sich einfach mittels FRST entfernen, die Kompromittierung kann man dadurch aber leider nicht rückgängig machen.
Zum Vergrößern anklicken....

Danke!

xxxx schrieb:
Hier der Virustotal Link https://www.virustotal.com/de/file/...490c2d5db8c0ba2d577a6fcd/analysis/1400254352/
Zum Vergrößern anklicken....

Danke. Das wird ja kaum erkannt :o

performi schrieb:
jo und kann man nur froh sein in solchen Firmen kein Kunde zu sein... :D

was ich mir da auf die Schnelle zusammengereimt habe, Übermittlung von Kollege oben ?
https://www.virustotal.com/en/file/...0f9c8d6ed157fca77e59487e2564b80a80c/analysis/

desweiteren:
https://malwr.com/analysis/NjdlMzZiOGVmNjNhNDJjMDllNTM2OTIxMzM3YTkxODU/#

huch, naja fast... :D
Zum Vergrößern anklicken....

Was willst du damit sagen?

performi schrieb:
oder in solchen freien Firmen, wo die Freundin auf dem Bürorechner mal Videos guckt...
fehlt bloss noch der Einsatz von FREEware, weil der Rechner ja auch privat genutzt wird...

hätten sie denn wenigstens mal privat auf den seit Tagen warnenden Seiten der Telekom-Analyse gesurft, statt o.g ... :D
Zum Vergrößern anklicken....

Im Büro hat die Freundin keine Videos geschaut...
 
Erschreckend das es kaum von einer Schutzsoftware erkannt wird. Gott sei Dank hab ich Eset Smart Security drauf :evillol:

Und das alle Programme immer noch solche Probleme haben Schädlinge in komprimierten Dateien zu finden ist ebenfalls erschreckend.

Hätte eigentlich gedacht das Qihoo 360 welches ich auf einem anderen PC noch verwende erkennen würde. Da kann man mal sehen wie wichtig es ist eine Software zu haben bei der man mehrmals täglich Signatur Updates bekommt. Da kommt freeware wohl an ihre Grenzen, vor allem wenn die jenigen am PC sitzen die ohne ihr Hirn einzuschalten wild drauf los klicken.

Aber das schlimmste überhaupt ist das ein Admin in der Firma jedem Nutzer Adminrechte gewährt.
 
Zuletzt bearbeitet:
Ist blöd, dass das nur so selten erkannt wird, ja.
Aber gibt dieser Virus total Check auch noch mehr Infos?
 
JamesFunk schrieb:
Aber gibt dieser Virus total Check auch noch mehr Infos?
Zum Vergrößern anklicken....
Schau dir doch mal den letzten Tab mit den Verhaltensinformationen genauer an (funktioniert nur, wenn die .exe direkt analysiert worden ist).

Eventuell wäre es noch interessant, ob z.B. Linux-basierte Scanner http://virusscan.jotti.org/de eher was erkannt hätten oder was eine Verhaltensanalyse wie Anubis dazu sagen würde.
 
Was willst du damit sagen?
Zum Vergrößern anklicken....
die o.g. Links waren eine (weiterführende) Analyse einer möglichen Variante dieser Malware, allerdings noch kurz zuvor erstellt, bevor der Link von "xxxx" kam, indem sinnigerweise eine .zip untersucht wurde...

"Deine" Variante ist wahrscheinlich ähnlich, wenn auch sicher nicht gleich (MD5 etc.)...
ferner waren u.a. betroffene Reg-Werte erwähnt, die erstellt, geändert werden etc., wie bei Malware üblich...
https://malwr.com/analysis/NjdlMzZiOGVmNjNhNDJjMDllNTM2OTIxMzM3YTkxODU/#summary_keys

also ein Fall für die verantwortliche Firmen-IT und Ihre Setup-Zeremonien in denen speziell Firmen/Kundendaten vor unsachgemäßen Gebrauch geschützt werden!
 
Randy89 schrieb:
Schau dir doch mal den letzten Tab mit den Verhaltensinformationen genauer an (funktioniert nur, wenn die .exe direkt analysiert worden ist).
Zum Vergrößern anklicken....

Der letzte Tab ist bei mir "Bewertungen".
 
performi schrieb:
was hat das alte Prinzip "Fake" etc. mit der Nichterkennung "minütlich" wechselnder Malware.exe'n zu tun ?
für die Verbreitung neuer Malware ist das freie Internet doch da, vor allem, wenn man wegen fehlender "Hardware"-Ausstattung ins Kino muss... :D

oder in solchen freien Firmen, wo die Freundin auf dem Bürorechner mal Videos guckt...
fehlt bloss noch der Einsatz von FREEware, weil der Rechner ja auch privat genutzt wird...

hätten sie denn wenigstens mal privat auf den seit Tagen warnenden Seiten der Telekom-Analyse gesurft, statt o.g ... :D
Zum Vergrößern anklicken....

Naja, die Erkennungsrate fängt ja eigtl schon vor dem Bildschirm an. Wenn man eine PDF erhaltet, dann schaut man erst mal an ob das tatsächlich eine ist und nicht mit .exe endet. Das ist jeher bekannt und da muss man nicht mal eine Sicherheitsanweisung unterstellt worden sein um alleine hier schon skeptisch zu werden. Man weiss doch, dass eine PDF keine ausführbare Datei ist (.exe = executeable), sondern ein Dokument.

-Erstens der unübliche Dateiname.
-Die Endung
-Dann den Link, den man folgen soll (wo bitte soll die Datei liegen?). Erhalte ich die Rechnung nicht eigtl über das Kundenzentrum in meinem (in dem Fall) Telekom-Konto?
-Mit Sicherheit war die Anrede bzw die ganze Erinnerungsmail gänzlich anders formuliert.
-Zudem, wenn ich mich zurück erinnere, habe ich bei der Telekom über 14 Jahr nie eine Rechnung verpackt erhalten. Ist bei Kabel Deutschland auch nicht anders.
Die Rechnung kommt in Reinform.

Hat man dann doch die Datei vor sich und doppelklickt sie, dann müsste spätestens die Alarmglocken ertönen, wenn die UAC sich meldet. Wenn man die aus hat, dann sollte man eigtl davon ausgehen, dass es sich zumindest um ein Standardkonto handelt. Ist das nicht der Fall und ist man zudem noch mit dem Admin-Konto unterwegs, dann ist eh Hopfen und Mals verloren - ein NoGo bei Firmenrechnern - vor allem wenn es scheinbar nicht mal einen zuständigen Admin gibt.
Sich in einem allgemeinen Forum zu informieren, wie man den Virus dann salopp weg bekommt, bringt das Fass zum überlaufen.

jo und kann man nur froh sein in solchen Firmen kein Kunde zu sein...
Zum Vergrößern anklicken....
du sagst es :D

Aber um noch mal auf die Erkennungsrate zurück zu kommen. Was ist mit Verhaltenschutz? Dutzendweise Onlinescanner die allesamt nichts erkennen (Virus Total fast 5 Dutzend)? Wird denn da ausschliesslich über Signaturen geprüft?

Ps: übrigens ist es einfacher mal eben die Datei zu markieren und die F2-Taste zu drücken. Somit sieht man auch den ganzen Namen plus Dateiendung. Für Leute die eher nicht ins Kino gehen :D
 
JamesFunk schrieb:
2. ist der Betreff der April Rechnung:
"Ihre Telekom Mobilfunk RechnungOnline für April 2014"
Also nichts mit Buchungskonto oder Kundennummer im Betreff...
Zum Vergrößern anklicken....

Habe Festnetz und Rechnung Online seit 2007 (oder noch länger), finde es dann doch etwas befremdlich wenn der Konzern so einen Unterschied zwischen Festnetz und Mobil macht.
Muss aber noch was korrigieren, nicht die Kundennummer, sondern die Nummer das Buchungskontos ist im Betreff und im Namen der Zip angegeben.
 
Zuletzt bearbeitet:
AnfängerEi schrieb:
Naja, die Erkennungsrate fängt ja eigtl schon vor dem Bildschirm an...
Zum Vergrößern anklicken....
achsooo, damit hast Du dann natürlich recht! :D
Was ist mit Verhaltenschutz? Dutzendweise Onlinescanner die allesamt nichts erkennen
Zum Vergrößern anklicken....
wahrscheinlich eben genauso der übliche Test-Blödsinn bzw. Versuche etc.... ;)
http://www.com-magazin.de/news/sicherheit/virustotal-jetzt-auch-mit-verhaltensanalyse-6028.html
irgendwo hatte ich da auch wieder Symantec "suspicious" oder sowas gesehen...

also in dem Sinne und z.b. angesichts einer längeren/dauernden/intensiveren Untersuchung in anderen Sandboxen...
vllt. auch noch irgendwelche Test-Signaturen ?
ach, wer weiß das schon so genau...
 
performi schrieb:
achsooo, damit hast Du dann natürlich recht! :D
Zum Vergrößern anklicken....

Hehe, wollst halt noch mal erwähnt haben :)
Vielleicht hilft das ja den ein oder anderen im Vorfeld

Zusätzliche Verhaltensanalyse, läuft ja schon 2 Jahre. Hätte da doch echt mit mehr Erkennung gehofft. So gut scheint das wohl noch nicht wirklich zu laufen.
Ich sehe VirusTotal ja eher als Möglichkeit eine Datei zu testen ohne Bedenken das eigene System is evtl kompromittiert und der Scan nicht sicher. Unterscheiden sich "normale" Antivirensoftware von denen auf VirusTotal?
 
A given antivirus in VirusTotal detects a file and its equivalent commercial version does not

VirusTotal antivirus solutions sometimes are not exactly the same as the public commercial versions. Very often, antivirus companies parametrize their engines specifically for VirusTotal (stronger heuristics, cloud interaction, inclusion of beta signatures, etc.). Therefore, sometimes the antivirus solution in VirusTotal will not behave exactly the same as the equivalent public commercial version of the given product.
Zum Vergrößern anklicken....
https://www.virustotal.com/en/faq/

So vielleicht?

und dann steht da noch:
Why do not you include statistics comparing antivirus performance?

At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:

VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.
Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.

These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea, you can read more about VirusTotal and antivirus comparatives in our blog.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
AnfängerEi schrieb:
Unterscheiden sich "normale" Antivirensoftware von denen auf VirusTotal?
Zum Vergrößern anklicken....
ja, durch alle weiteren Zusatzfunktionen, die sie halt bei einer örtlichen Installation bieten...oder auch nicht ? :D
Langer Rede kurzer Sinn:

Einige der Trojaner wurden wie hier von Kaspersky mit Hilfe der Verhaltenserkennung gestoppt.
Zum Vergrößern anklicken....
http://www.heise.de/ct/artikel/Der-Trojaner-Test-1798596.html

aber nur z.b. und nie repräservativ oder wie man das nennt... :D
 
@Randy89
Hatte mir mehr Zuversicht erhofft. Das man immer nur enttäuscht wird...hrmmpf
Hat ja aber auch positives :)

@performi
Naja, wenn halt ein Virus das System dahingehend ändert, dass Scanns zwecklos sind ect. dann wäre ja sowas wie VirusTotal eine gute Anlaufstelle.

Wie dem auch sei, ich bin zufrieden mit meiner Virenlössung. Nutze Sehr lange schon MSE. Der hat ja auch seit Win8 nen Verhaltensschutz und der Smartscreenfilter - übergreifend und nicht wie zuvor nur für den IE geltend.

Wenn jetzt aber der TE sagt, er nutzt auch den MSE, dann geh ich direkt in den Keller und heul :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Marco^^
Achtung bei Programmen die Sicherheit versprechen !
Antworten
13
Aufrufe
1.474
Marco^^
Marco^^
XHitcher1
Catalyst Installation AVG findet cmd.exe ein Virus?
Antworten
15
Aufrufe
3.043
Randy89
R
P
Virus - Achtung, Windows wurde blockiert
2
Antworten
26
Aufrufe
9.618
Phantom2k
Phantom2k
G
ACHTUNG VIRUS als JPG.scr Anleitung Win32 Bakerfox
Antworten
16
Aufrufe
8.353
DJServs
DJServs
W
ACHTUNG: Virus bei 7-Zip - Download
Antworten
11
Aufrufe
7.867
Wurzel
W
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz