ComputerBase Menü
Aktuelles

.zip Virus - was machen?

Status
Für weitere Antworten geschlossen.
L

Lacritz

Lieutenant
Registriert
Okt. 2013
Beiträge
923
Heyho liebe CB'ler,

ein Arbeitskollege hatte eine Mail einer von uns bekannten Firma mit einer .zip Datei bekommen , diese scheint ein automatischer Virus zu sein, der sich selber an sämtliche Email Addressen im Kontaktbuch gesendet hat.

Datei wurde bereits entfernt - was kann der Virus dennoch an bleibenden Schäden hinterlassen haben?
Was kann man ggf. machen um den Rechner zu checken?

Avira ist bereits darüber gelaufen & hat nichts ausgeschlagen!
 
Wenn die Datei von Avira automatisch abgefangen wurde, war es das schon. Dann hatte der Virus keine Möglichkeit, irgendwas anzustellen.
 
Im nachhinein - der Virus hat ja bereits jeden im Kontaktbuch meines Kollegens ebenfalls eine Mail mit dem Virus selber geschickt
 
@Fried_Knight: Nein, wenn der Rechner automatisch E-Mail an alle Kontake weitergeleitet hat ist er wohl verseucht...
 
malwarebytes(free... nicht pro) laufen lassen und hoffen, das dieses böse .zip dein pc, ähm pardon, der deines kollegen, keine weiteren infektionen hat.
 
Gibt es bei euch eine IT Abteilung?
Dann lasst die ihren Job machen!

Gibt es keine?
Dann würde ich in einer Produktivumgebung (Arbeitsplatz) IN JEDEM FALL den ganzen Rechner formatieren und neu aufsetzen. Kein Risiko eingehen, dass davon noch etwas im PC schlummert.

Und in Zukunft
a) keine verdächtigen Anhänge öffnen (auch nicht von bekannten Absendern)
b) einen Virenscanner installieren, der Anhänge "live" checkt.
 
chrigu schrieb:
malwarebytes(free... nicht pro) laufen lassen und hoffen, das dieses böse .zip dein pc, ähm pardon, der deines kollegen, keine weiteren infektionen hat.
Zum Vergrößern anklicken....

Ich bin für die Wartung der Rechner zuständig - habe nichtmal ein Email Konto in der Firma.
 
hoffentlich nicht avira free? welcher virenscanner ist denn installiert?

um das zu verifizieren... meintest du dass das Ding nur von der anderen Firma wohl an alle Kontakte gesendet wurde, oder wurde das Ding vom Rechner deines Kollegen an die Kontakte in seinem Adressbuch weiter geleitet?

oder, wurde die zip Datei bei euch versucht zu öffnen, oder nicht?

ansonsten kann man nur mr hyde zustimmen. in einer Produktivumgebung hat herumbastelei an einem komprimitierten Rechner nichts zu suchen.
platt machen, neu aufsetzen.

nur so aus neugier
wie sieht der Rest der Systemlandschaft aus?


PS: und natürlich mit dem IT Verantwortlichen von der euch bekannten Firma reden, von der die Email kam - der muss seinen Laden ja offensichtlich auch aufräumen
 
Zuletzt bearbeitet:
homerpower schrieb:
@Fried_Knight: Nein, wenn der Rechner automatisch E-Mail an alle Kontake weitergeleitet hat ist er wohl verseucht...
Zum Vergrößern anklicken....

Ach, ich hatte mich verlesen. Ich dachte, es ginge jetzt um seinen eigenen PC, der so eine Mail nun vom Kollegen bekommen hätte. Sorry.
Der Wirt ist natürlich korrumpiert. Letztendlich kann man dem System so nicht mehr vertrauen. Produktiv sollte da also nichts mehr laufen und der Support soll den PC neu aufsetzen und ein vernünftiges Virenprogramm gleich mit installieren.
 
umpf... sorry wenn ich direkt bin, aber kann es sein, dass dieser job nicht für dich geeignet ist?

was bedeutet wartung bei einem pc? nur hardware-tauschen bei defekt?
 
Die Passwörter aller E-Mail Adressen ändern an denen die Mail mit dem Virus Anhang weitergeleitet wurde. Dann erkundigen ob die Besitzer der E-Mail Adressen den Anhang geöffnet/angeklickt haben (denn ich kann mir nur schwer vorstellen das sich eine ZIP Datei mit einem Virus drin selbst öffnet und dann den Virus aktivieren kann), ist das der Fall ist es zu überlegen ob deren Systeme neu aufgesetzt werden müssen oder ob man sie mit verschiedenen Scannern wie zum Beispiel Kaspersky Rescue Disk und Malwarebytes Free Scannern überprüft. Man weiß halt nicht ob der Virus schon eine Infektion ausführen konnte und ob diese von Virenscannern erkannt wird oder nicht.
b) einen Virenscanner installieren, der Anhänge "live" checkt.
Zum Vergrößern anklicken....
Ich bin für die Wartung der Rechner zuständig
Zum Vergrößern anklicken....
Falls ihr tatsächlich Avira Free in der Firma einsetzt was ja nicht erlaubt ist, dann schau dir mal das an: http://www.chip.de/downloads/Avast-Business-Security-Free-2015_76902985.html

https://www.avast.com/de-de/avast-for-business
Hat einen E-Mail Scanner der E-Mails automatisch prüft wenn die mit Outlook, Windows LIve Mail, Thunderbird usw abgerufen werden und erkannte infizierte Anhänge oder Links in E-Mails löscht bevor die E-Mail auf dem PC landet. Habt ihr Avira als Firmenlösung, erübrigt sich das mit Avast Business Security.
 
Zuletzt bearbeitet:
Ergänzend zu dem bereits genannten richtigen Tipp "Neuaufsetzen":

In der Firma scheint es kein richtiges Sicherheitskonzept zu geben, das die unbedachtsame Öffnung bzw. das Entpacken von ZIP-Archiven udgl. eindeutig regelt und einschränkt.

Wenn man eine Mail bekommt - GANZ EGAL VON WEM (!!!) sie scheinbar kommt oder ob dieser Absender bekannt ist oder nicht - und der Anhang wurde nicht im vorangeg. Mailverkehr oder auf anderen Wegen abgesprochen, angekündigt oder zumindest in der Mail plausibel erklärt, dann gilt Alarmstufe ROT!

Gerade in einer Produktivumgebung sollte hier mit Mailverschlüsselung und Signaturen zur Prüfung des Absenders (z.B. mit GnuPG, GPG4Win, PGP) gearbeitet werden.

Scannen ist immer unzuverlässig, ob nun vorher oder nach dem Öffnen. Malware wird gern in passwortgeschützten ZIPs verschickt, weil in die ein Scanner nicht hineinschauen kann. Das Passwort steht aber in der Mail, damit das Opfer an den Inhalt kommt. Also Vorsicht!
 
Scannen ist immer unzuverlässig, ob nun vorher oder nach dem Öffnen. Malware wird gern in passwortgeschützten ZIPs verschickt, weil in die ein Scanner nicht hineinschauen kann. Das Passwort steht aber in der Mail, damit das Opfer an den Inhalt kommt. Also Vorsicht!
Zum Vergrößern anklicken....
Dazu eine Frage an dich IRON67: was ist wenn der E-Mail Scanner des AV's so eingestellt ist das auch Packer/Archive geprüft werden und bei den Packern/Archive 7zip Archiv, RAR Archiv und WinZip Archiv markiert wurden? Würde mich mal interessieren ob der Scanner dann auch Passwortgeschütze ZIP's bzw deren Inhalt überprüfen kann?
 
Der Scanner prüft bei Zugriff. Ein PW-Schutz verhindert nicht nur, dass der Scanner nicht auf den Inhalt zugreifen, er verhindert natürlich auch, dass der Inhalt ausgeführt werden kann. Nach PW-Eingabe wird das Archiv ganz normal wie jedes andere behandelt.
Sobald Zugriff auf eine dubiose Datei in ihm erfolgt, schlägt der Scanner Alarm. (Soweit der Virus bekannt und / oder die Heuristik was bemerkt. Aber das würde bei einem unverschlüsselten Archiv mit einem Virus ohne bekannter Signatur oder Code genauso laufen.)
 
Danke Fried_Knight, so hatte ich das auch in Erinnerung das der E-Mail Scanner Arichive die durch ein Passwort geschützt sind, nicht deren Inhalt überprüfen kann. War mir nur nicht mehr ganz sicher, dehalb die Nachfrage. Fatal kann es dann halt werden wenn man das Archiv öffnet mit Hilfe des Passworts und die Signaturen den Schädling darin nicht erkennen, dann könnt der sprichwörtliche Weihnachtsbaum schnell lichterloh brennen und Windows hätte verloren:eek:
 
chrigu schrieb:
umpf... sorry wenn ich direkt bin, aber kann es sein, dass dieser job nicht für dich geeignet ist?

was bedeutet wartung bei einem pc? nur hardware-tauschen bei defekt?
Zum Vergrößern anklicken....

Hardware Defekte - aber vorallem die Wünsche des Chefs zu machen - soll hier aber keine Grundsatz Diskusion werden - ich bin kein Professioneller IT'ler im Sicherheitsbereich sondern "einfacher" Anwendungsentwickler & vorallem geht es sich hier meist eher um arbeiten Richtung Automatismen / Anpassung Benutzeroberflächen der Rechner - Vernetzung gewährleisten - Anwendersoftware.

Habe mehrfach darauf hingewiesen einen professionellen IT Support in erwägung zu ziehen
Ergänzung ()

purzelbär schrieb:
Falls ihr tatsächlich Avira Free in der Firma einsetzt was ja nicht erlaubt ist, dann schau dir mal das an: http://www.chip.de/downloads/Avast-Business-Security-Free-2015_76902985.html
Zum Vergrößern anklicken....

Es wird die buisness Version Aviras benutzt.
 
Zuletzt bearbeitet:
ein Arbeitskollege hatte eine Mail einer von uns bekannten Firma mit einer .zip Datei bekommen
Zum Vergrößern anklicken....

Dann den Arbeitskollegen noch mal genau befragen, was er gemacht hat. Durch eine .zip bekommen verteilt sich diese nicht automatisch auf alle eMail Adressen. Die .zip zu öffnen, richtet auch noch keinen Schaden an. Erst die .zip zu entpacken und die darin enthaltene Datei(en) ausführen führt zu Schäden.
Wenn es sich wirklich automatisch verteilt hat, ist davon auszugehen, dass es sich so abgespielt hat. Da muss auch für die Zukunft eine Aufklärung stattfinden, wie mit solchen Dateianhängen umzugehen ist und was zu unterlassen ist.

Datei wurde bereits entfernt
Zum Vergrößern anklicken....

Welche Datei wurde entfernt? Die .zip Datei? Die spielt überhaupt keine Rolle mehr, es geht jetzt nur noch um die Datei(en) in der.zip Datei. Die kann man mit Avira analysieren oder durch Virustotal jagen, um evtl. mehr Auskunft darüber zu erlangen.

was kann der Virus dennoch an bleibenden Schäden hinterlassen haben?
Zum Vergrößern anklicken....
Das weiß man nicht, daher empfiehlt es sich auch immer, den Rechner platt zu machen. Der Ursprungsrechner scheint ja in jedem Fall kompromittiert zu sein, wenn sich von dort die Datei automatisch verbreitet hat.
Jetzt wäre es wichtig zu wissen, wie die Empfänger an den anderen Konten mit der Datei umgegangen sind. Bekommen ist irrelevant, entpacken und ausführen sind gefährlich. Das sollte man durch Befragungen in Erfahrung bringen.

Wenn auf dem als sicher kompromittiert geltenden Ursprungsrechner kein Virenprogramm anschlägt, zeigt das einmal mehr, dass Virenprogramme keinen ausreichenden Schutz bieten und man ihnen nicht trauen kann.

species_0001 schrieb:
um das zu verifizieren... meintest du dass das Ding nur von der anderen Firma wohl an alle Kontakte gesendet wurde, oder wurde das Ding vom Rechner deines Kollegen an die Kontakte in seinem Adressbuch weiter geleitet?
Zum Vergrößern anklicken....

Das sollte man wirklich noch mal überprüfen, ob nicht von der einen Firma alle Konten angeschrieben wurden. Oder einfach mal bei der Firma anfragen, ob diese Nachricht von ihnen bewusst verschickt wurde.
Der Inhalt des .zip Archivs ist natürlich wie gesagt von elementarer Bedeutung. Sind da sinnvolle, firmenbezogene, nicht ausführbare Word oder Excel Dokumente drin oder dubiose .exe Dateien mit kryptischem Namen?
 
Zuletzt bearbeitet:
purzelbär schrieb:
Dazu eine Frage an dich IRON67: was ist wenn der E-Mail Scanner des AV's so eingestellt ist das auch Packer/Archive geprüft werden
Zum Vergrößern anklicken....

Das funktioniert bei passwortgeschützten nicht. Drum meine Warnung.

Fried_Knight schrieb:
Sobald Zugriff auf eine dubiose Datei in ihm erfolgt, schlägt der Scanner Alarm. (Soweit der Virus bekannt und / oder die Heuristik was bemerkt.
Zum Vergrößern anklicken....

SOWEIT! Eben. Und da es ein Klacks ist, immer wieder neue Varianten zu erstellen, die zu neu sind, um erkannt zu werden, ist der Scanner prinzipiell auf verlorenem Posten.
 
Zuletzt bearbeitet:
IRON67 schrieb:
Das funktioniert bei passwortgeschützten nicht. Drum meine Warnung.
Zum Vergrößern anklicken....
Die Warnung ist an und für sich unnötig. Entweder erkennt der Virenscanner den Schädling oder eben nicht. Dabei ist es egal, ob er gleich beim Laden der Mail gefunden wird, oder ob er erst gefunden wird, wenn das Archiv entsperrt und dann überprüft wird (on the fly vom Guard).
Es kann eben sein, dass der Scanner den Schädling und oder sein Vorgehen nicht erkennt, aber das kann - wie gesagt - in beiden Fällen passieren.

IRON67 schrieb:
SOWEIT! Eben. Und da es ein Klacks ist, immer wieder neue Varianten zu erstellen, die zu neu sind, um erkannt zu werden, ist der Scanner prinzipiell auf verlorenem Posten.
Zum Vergrößern anklicken....
Das ist eine Sache des Virenscannersupports und der Heuristik. Heutzutage dauert es aber nur noch wenige Minuten / Stunden, bis ein neuer Virus erfasst und eine Signatur erstellt wurde. Gerade bei Abkömmlingen geht das schnell.
Da ist dann aber auch der User gefragt, den Scanner immer aktuell zu halten und Updates nicht hinauszuschieben.
 
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

Captain Flint
Ist das Pishing oder ein Virus oder was auch immer...?
Antworten
14
Aufrufe
2.791
Captain Flint
Captain Flint
L
ZIP-Datei auf Virus prüfen
2
Antworten
22
Aufrufe
2.017
andy_m4
andy_m4
F
"Virus" im Wlan - Anbieter drosselt Geschwindigkeit
2
Antworten
37
Aufrufe
2.824
norKoeri
N
N
Virus - Wie entfernen?
2
Antworten
25
Aufrufe
2.458
purzelbär
purzelbär
G
Uazq Virus weg bei wiederherstellung?
Antworten
10
Aufrufe
1.378
purzelbär
purzelbär
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz