Emails mit Anlage --> Trojaner/Viren

[c-mate]

Hi,
es werden ja zahlreiche Emails mit Anhängen verschickt von einem Absender, aufgrund dessen man meinen könnte, dass das seriöse Emails sind. Die Anlagen allerdings enthalten dann Trojaner oder Viren.

zb Absender DHL Express mit einer entsprechenden Anlage
Jetzt ist es halt leider so, dass wir täglich mit DHL, UPS, etc verschicken und wenn ein Kollege so eine Email bekommt, dann denkt er sich nichts dabei und öffnet die Anlage (erst entzippen und dann die Anlage starten, dummerweise eine *.exe !!)

Man kann die Kollegen leider so oft drauf hinweisen wie man möchte, irgendeiner denkt dann doch nicht daran.

Heute kam wieder so eine Email, zum Glück noch nicht geöffnet.
Ich habe jetzt die *.zip Datei abgespeichert und mit dem Virenschutz (Symantec Enpoint Protection) überprüft, allerdings ohne Ergebnis.
Die *.zip datei enthält eine *.exe Datei.
Kann ich die *zip. gefahrlos entpacken um dann die *.exe auf Viren zu prüfen oder kann das entpacken schon gefährlich sein?

THX

 

[Benzer]

Besorgt euch nen eMail Anbieter mit Virenschutz und das Problem ist vom Tisch. Alles andere ist eher fahrlässig.

 

[AndrewPoison]

DHL versendet keine EXE-Dateien, bestenfalls PDF. Das was du da hast ist also definitiv ein Virus/Trojaner. Der kann auch ein selbstgebräu sein, wodurch Virenscanner ihn nicht erkennen können. Das entpacken selbst *kann* bereits eine Gefahr darstellen, da gibt es viele Faktoren die da mit reinspielen.

Aber eins ist klar: lösch es einfach, werf es weg. Wie gesagt, kein seriöser Anbieter verschickt Exe-Dateien, schon allein aus dem Grund da man die ja nicht ganz einfach auf Mac/Linux-Systemen oder Mobiles nutzen könnte.

 

[Straight1911]

Nein, solange DEIN Winrar nicht manipuliert ist, besteht alleine durch das entpacken keine Gefahr.

 

[Benzer]

Man kann die Kollegen leider so oft drauf hinweisen wie man möchte, irgendeiner denkt dann doch nicht daran.

Genau deswegen ist jede Datei die durchkommt eine Gefahr... da kann man noch soviel schulen ect.

 

[Wilhelm14]

Nochmal zum Verständnis. Dein Betrieb verschickt per DHL, UPS usw. Pakete. Daher steht ihr mit denen in Kontakt. Von denen bekommt ihr per E-Mail Anhänge, die vermutlich Malware enthalten?

Vermutlich sind die E-Mails gar nicht von DHL und co., das würde ich prüfen.

Die Anhänge kannst du hochladen und prüfen lassen. www.virustotal.com

 

[Benzer]

Vermutlich sind die E-Mails gar nicht von DHL und co., das würde ich prüfen.

Das ist schon richtig... aber unter der Flut von richtigen fallen die schwarzen Schafe nicht auf.

 

[NoSyMe]

Die E-Mails, die von DHL und Co. verschickt werden, werden ja wohl ganz anders aufgebaut sein, einen anderen Betreff haben und anders geschrieben sein. Das wird sich doch wohl unterscheiden lassen.

Das Beste was du machen kannst, ist dass, was Benzer schon empfohlen hat. Steigt auf einen E-Mail-Anbieter mit gutem Virenschutz/Spamschutz um und schon hat sich das Problem erledigt. Ein gutes Internet Security Programm sollte auch genügen. Ich z.B. benutze Kaspersky Internet Security und habe noch nie auch nur eine einzige E-Mail erhalten, die Spam ist oder mit einem Virus im Anhang.

 

[Wilhelm14]

Genau diese E-Mails kenne ich nicht. Aber sämtliche Phishing-Mails die ich kenne, fallen deutlich durch schlechte Formatierung und Rechschreibung auf. Spätestens, wenn statt eines PDF-Dokuments ein ZIP anhängt, wird man stutzig. Zusätzlich muss man das Archiv entpacken und die EXE ausführen. Generell schlägt ein Virenscanner beim ZIP schon Alarm, sonst bei der entpackten EXE. Wenn man die EXE anklickt, schaltet sich die Benutzerkontensteuerung von Windows davor. (Ok, erst ab Vista.) Bis da etwas passiert, muss der Rechner schon sehr schlecht eingerichtet sein und das Personal... mir fällt keine Beschreibung ein.

PS: Per Spam habe ich vor Jahren eine EXE als Anhang bekommen. EXE als Anhang war da mit Outlook gar nicht möglich. Die hat Outlook von selbst verschluckt.

 

[Benzer]

Die E-Mails, die von DHL und Co. verschickt werden, werden ja wohl ganz anders aufgebaut sein, einen anderen Betreff haben und anders geschrieben sein. Das wird sich doch wohl unterscheiden lassen.

Jemand der weiß wonach er suchen muss wird das können... aber nehmen wir mal Frau Mustermann die sich im besten Alter mitte 50 befindet und nur ihre Arbeit machen will... die wundert sich kurz das die Mail anders aussieht, denkt die könnten aber auchmal ihre Rechtschreibung überdenken, schimpft über das Zipfile und wundert sich dann beim ausführen der Exe über das flackern des Bildschirms...

Sowas muss von der IT Abteilung abgefangen werden und darf erst gar nicht zum User durchdringen.

 

[c-mate]

Also dass es sich bei der Email um fake handelt ist mir schon klar, ebendfalls, dass DHL keine *.exe datei versendet.
Aber die Email und der Absender sind einfach gut gemacht, so dass es der 0815 Mitarbeiter nicht erkennen kann.

Von: DHL Express [mailto:noreply@dhl.com] 
Gesendet: 29.Nov.2011 09:20
An: Hans Müller
Betreff: Re: DHL Parcel Tracking Notification 0716855755738

DHL Express Tracking Notification: Tue, 29 Nov 2011 16:20:00 +0800 
________________________________________
Custom. Reference: 11IPU-1994981633771286
P. Tracking Number: 5946-3N633OT9
Pickup Date: Tue, 29 Nov 2011 16:20:00 +0800
Service: GROUND
Pieces: 2
________________________________________

Tue, 29 Nov 2011 16:20:00 +0800 - Clearance processing complete 
PLEASE REFER TO ATTACHED FILE FOR DETAILED INFORMATION. 
________________________________________


________________________________________
Shipment status may also be obtained from our Internet site in USA under [url]http://track.dhl-usa.com[/url] or Globally under [url]http://www.dhl.com/track[/url] 
Please do not reply to this email. This is an automated application used only for sending proactive notifications

Thanks,
DHL Express International.

Bei den Benutzer Konten handelt es sich natürlich um eingeschränkte Konten (Windows 7 Pro), aber leider scheint das nicht davor zu schützen, dass sich bei ausführen der *.exe der Virus installiert.
Beim Ausführen der *exe tut sich natürlich nichts, was dazu führt, dass es der Benutzer mehrmals hintereinander versucht!

Und selbstverständlich gibt es hier Firewall, Spamfilter, Virenschutz etc. das volle Programm, aber ich behaupte mal, einen 100% Schutz gibt es nicht.

 

[Wilhelm14]

Dass manch Nutzer das nicht erkennt mag sein. Aber warum ist die Benutzerkontensteuerung ausgeschaltet? Warum geht die nicht an beim EXE-Klicken?

 

[c-mate]

Die Benutzerkontensteuerung ist definitiv an und die user haben selbstverständlich auch keine administrativen Berechtigungen. Kann ich dir leider nicht sagen, wie das dann trotzdem passieren kann. Ich hab zwar so eine Email hier aber ausprobieren geht halt schlecht!

 

[Benzer]

Ich hab zwar so eine Email hier aber ausprobieren geht halt schlecht!

Warum? Clon machen, Netzwerkstecker ziehen und die Folgen beobachten bzw. nachher ne AV cd überprüfen lassen.

 

[c-mate]

Das Zeugs ist sehr hartnäckig wenns mal drauf ist, hatte letztens nicht mehr runterbekommen, trotz Wiederherstellungsdateien gelöscht und abgesicherter Modus und Virenscan etc.
Von irgendwoher kam der Mist dann doch immer wieder her.
Musste bzw habe dann eben den PC neu installiert.

Wenn ich die Email heute morgen schon gehabt hätte, hätte ichs auf nem Notebook ausprobieren können, bevor ichs heute morgen angefangen habe neu zu installieren.

 

[Benzer]

Deswegen ja einen Clon... sowas ist besser als die Wiederherstellung

 

[c-mate]

Ok ich kann natürlich auch ein image erstellen und das dann zurückspielen.
Aber dazu hab ich grad nicht die Zeit, aber ich behalts mal im Hinterkopf und machs vielleicht mal wenn ich Zeit habe.

 

[suffer]

@Straight1911
Doch alleine durchs entpacken kann die .exe direkt gestartet werden. Dies ist meines Wissens eine Einstellung die beim erstellen der .rar oder .zip gemacht werden kann. Dies sollte die .exe auch auf einem anderen Rechner starten beim entpacken. Bin mir aber nicht 100% sicher Man sollte solche Dateien grundsätzlich in einer VM starten, respektive Sandbox.

@c-mate
Eingeschränkte Rechte helfen leider immer seltener da sich die Viren Adminrechte "besorgen".
Ein Image, gerade in einer Firma, ist sehr wichtig.
Du kannst mir die Email gerne mal zuschicken und ich schau mir das mal an. Mich würde interessieren wo das herkommt etc. Vielleicht findet sich ja eine Möglichkeit das gerade diese Mails nicht durchgelassen werden.
Schickt euch die echte DHL denn tatsächlich mal Mails mit Anhang? Weil sonst brauch man ja nur darauf achten.

@Wilhelm14
Die UAC ist schon lange geknackt. Die meldet sich nie wenn der Virus gut gemacht ist.

@Benzer
Da hast du volkommen recht. Das ist aber leider manchmal schwer umzusetzen. Noch sind wir immer an den Benutzer gebunden. Das dieser sich richtig verhält.

 

[Wilhelm14]

Hättest du ein Beispiel einer exe, wo die Benutzerkontensteuerung nicht anspringt?
Hat c-mate die exe bei www.virustotal.com geprüft?
Hat c-mate eine Beispiel-exe?

PS: Ich wäre auch neugierig und hätte gerne sowas zum Prüfen.

 

[suffer]

@Wilhelm14
Selbst bei einem schlechten Trojanerbaukasten ist nen UAC Bypass dabei Rein theoretisch ist UAC ne super Idee gewesen allerdings hat das glaube seit Vista gerade mal drei Monate gedauert das zu umgehen. Wie es bei Win 7 ist hab ich selber noch nicht ausprobiert aber ich bin mir sicher das es da kein Unterschied macht.