Thema "Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen" in Technisches zu Software

Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Tue, 08 Oct 2019 14:00:19 GMT

Hallo Community,

zur Zeit verbreiten sich offenbar wieder verstärkt E-Mails mit virenverseuchten Anhängen.

Das Perfide ist, dass sie sich gerne an bereits vorhandene E-Mail-Konversationen anhängen.

Bei uns sind schon einzelne 'Exemplare' aufgetaucht.

Die Anlage ist eine passwortgeschützte zip-Datei.

Der E-Mail-Text ist nichtssagend, verweist auf die Anlage und enthält im Text das Passwort für die Zip-Datei.

Allerdings wirkt die E-Mail sehr seriös, da sie schon eine vorhandene längere Konversation mit Partnern oder Mandanten enthält und wie eine Fortführung oder Weiterleitung wirkt.

In der Zipdatei steckt aber ein Worddokument im Word 97-2003-Format, das Makros enthält.

Auch das BSI warnt wieder aktuell vor dem Emotet-Virus

siehe https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Emotet-Warnung_230919.html

Michael Vogtsburger

edit: Tippfehler korrigiert

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Tue, 08 Oct 2019 14:02:47 GMT

Der Vollständigkeit halber: DATEVnet filtert das doch raus, oder ?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Tue, 08 Oct 2019 14:04:34 GMT

wir haben kein DATEVnet

Aber auch nur ganz wenige Virenscanner erkennen hier eine Gefahr.

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

siro — Tue, 08 Oct 2019 14:07:05 GMT

Defender in Windows 10 hat bei einem Selbstversuch sofort reagiert!

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Tue, 08 Oct 2019 14:55:42 GMT

... muss ich bei mir noch testen, ob der Defender 'anschlägt'.

Es ist gar nicht so trivial, eine Word-Datei anzuschauen, ohne sie mit Word zu öffnen.

Bei alten Word-Formaten soll man erst die Bearbeitung aktivieren,

den alten MS-Wordviewer gibt es nicht mehr

Wordpad kann das Format ebenfalls nicht öffnen

genausowenig wie Google Docs

und mit einem Editor sieht man nur Hieroglyphen.

.... keine Idee, ob es noch andere 'Bordmittel' gibt, um solche potentiell gefährlichen MS Office-Dateien anzuschauen, ohne sie zu öffnen.

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

metalposaunist — Tue, 08 Oct 2019 16:02:00 GMT

Ach Herr vogtsburger, das ist doch alles immer wieder der gleiche alte Hut und immer dieselbe Leier. Und selbst wenn da E-Mail Konversation dran hängt, die man kennt - wer auf solche Dinge reinfällt ist nicht für die digitale Welt geeignet. Klingt hart aber dem ist leider so.

Augen auf und Kopf ein kann kein Virenscanner ersetzen.

Es sind jedes Mal E-Mail Anhänge, die rein vom Bauch her komisch sind. Ob da nun was echtes dran hängt oder nicht. Skepsis kann nie falsch sein. Und wenn's echt ist, ruft derjenige an oder schickt das gleiche nochmal.

Nachtrag: E-Mails sind Postkarten und kein Schreiben zur Vorladung einer Gerichtsverhandlung. Kann so wichtig also nicht sein, sonst gäbe es nicht das beA .

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Tue, 08 Oct 2019 21:56:45 GMT

Ach Herr metalposaunist, Sie sehen solche Themen anscheinend immer nur aus der Perspektive eines IT-Freaks und fühlen sich hier unverwundbar.

In der Kanzleipraxis hat man es aber nur zu einem kleinen Teil mit IT-Freaks zu tun, sondern hauptsächlich mit vielen unterschiedlichen Menschen, die ihre normale Arbeit möglichst schnell, gut und bequem erledigen wollen, ohne viel über die technischen Details zu wissen.

Und wenn dann mal wirklich was passiert, ist es sicher kein böser Wille des Kanzleimitarbeiters, sondern der böse Wille des Angreifers, der es geschafft hat, Andere zu schädigen.

... und der ITler steht daneben, grinst und sagt "... selbst Schuld ! Kopf einschalten!"

Bei jedem Verkehrsunfall könnte man das Gleiche sagen

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Wed, 09 Oct 2019 05:26:41 GMT

In der Kanzleipraxis hat man es aber nur zu einem kleinen Teil mit IT-Freaks zu tun, sondern hauptsächlich mit vielen unterschiedlichen Menschen, die ihre normale Arbeit möglichst schnell, gut und bequem erledigen wollen, ohne viel über die technischen Details zu wissen.

Nun ja, bei Email-Anhängen ist es egal, ob "IT-Freak" oder nicht. Hier gibt es eben das "Gebot der Vorsicht". Wie handhaben Sie denn den Eingang von unsicheren Emails? Etwa den Einsatz von irgendwelchen "Bordmitteln" zum Öffnen einer profanen Worddatei? Haben Sie keinen Email-Virenscan vorgeschaltet, der Ihnen solche Dateien schon mal vorab scannt?

Da ist Herrn metalposaunist nur zuzustimmen: "Skepsis kann nie falsch sein".

Und ständige Sensibilisierung!

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Wed, 09 Oct 2019 07:18:42 GMT

Skeptisch zu sein ist nicht nur Empfehlung, sondern eine Selbstverständlichkeit !

Ich hatte in unserem Netzwerk sogar schon den Empfang von MS Office-Dateien komplett blockiert.

... funktioniert nur leider nicht, da es immer wieder Fälle gibt, bei denen man die Original-Dateien zwischen E-Mail-Partnern austauschen will/muss.

Soviel zum Thema Skepsis und Vorsichtsmaßnahmen.

Egal ! Wenn sich mit "Augen auf und Kopf einschalten", einem E-Mail-Scanner und einer Firewall schon gegen alle Malware-Angriffe gewappnet glaubt, kann es ja so machen.

Als Analogie:

Und wer sich mit "Augen auf und Kopf einschalten" in ein deutsches Krankenhaus begibt, hat immer noch ein hohes Risiko, sich einen multiresistenten Keim einzufangen, weil eben die Profis (Ärzte, Schwestern, Putzkolonne, Krankenhausverwaltung etc.) kein gutes Hygiene-Management haben.

Ich bin überzeugt, dass es wesentlich mehr Fälle von Malwareangriffen in der Industrie, Behörden, großen und kleinen Unternehmen und Organisationen gibt als öffentlich bekannt gemacht wird.

Viele Angriffe werden vermutlich 'stillschweigend' vertuscht, um nicht noch zusätzlich zum wirtschaftlichen Schaden einen Image-Schaden zu haben.

Sei's drum.

Wenn das eine ewige "Leier" ist, dass eben weiter mit der Parole "Augen auf und Kopf einschalten !"

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Wed, 09 Oct 2019 07:42:45 GMT

Als Analogie:
Und wer sich mit "Augen auf und Kopf einschalten" in ein deutsches Krankenhaus begibt, hat immer noch ein hohes Risiko, sich einen multiresistenten Keim einzufangen, weil eben die Profis (Ärzte, Schwestern, Putzkolonne, Krankenhausverwaltung etc.) kein gutes Hygiene-Management haben.

Sie haben auch immer so tolle philosophische Vergleiche......

Schauen Sie mal in den Tageszeitungen nach Computer-Virusattacken gegen deutsche Kliniken. Das wäre dann m.E. schon relevanter. Krankenhauskeime sind zwar auch Viren, aber hier nicht unser Ressort.

Sie nutzen kein DATEVnet antworteten Sie auf meine Frage zu Ihrem Ausgangsbeitrag. Wie scannen Sie denn Emails?

Nur mal so aus Interesse, denn mit "Blocken" kommen Sie ja scheinbar auch nicht weiter. Haben Sie eine alternative Lösung zu DATEVnet?

Und wenn man sich die Statistiken zu Virenattacken auf die DATEV mal anschaut, dann ist das auch nicht unerheblich. Zumindest ist diese Zahl bekannt. Im Gegensatz zu der von Ihnen vermuteten Fallzahl von Malwareangriffen...

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Wed, 09 Oct 2019 08:08:55 GMT

Sie haben auch immer so tolle philosophische Vergleiche......

Wenn solche Vergleiche schon philosophisch sind, dann bin ich etwa schon ein großer Philosoph ?

... aber es stimmt, ich mag Analogien

Meine Devise: Analogien sind besser als Digitalis oder Digitoxin !

Michael Vogtsburger

.. aber zurück zu Ihrer Frage:

Ich habe in unserer Kanzlei die Regel eingeführt:

Nichts anfassen, was verdächtig aussieht und nicht mal gucken, sondern zur Prüfung an mich weiterleiten.

Das hat sich bisher gut bewährt, trotz gelegentlicher 'philosophischer' Vergleiche

Nachtrag:

Selbstverständlich haben wir auch diverse Sicherheits-Produkte und -mechanismen vorgeschaltet.

Ich möchte sie allerdings hier nicht weiter diskutieren, da so etwas wieder (als Analogie) in einen 'Glaubenskrieg' ausarten kann, nach dem Motto: Wer hat den besten Virenscanner, die schönsten geschützten Ports, die dickste Firewall und die sichersten Protokolle ...

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Wed, 09 Oct 2019 08:22:52 GMT

Also checken Sie die an Sie weitergeleiteten "verdächtigten" Mails? Potzblitz!

Ok. Das klingt nach einem durchdachtem Prozess. ...kann aber irgendwann zum Bedarf von Digitalis führen.....

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

mkolberg — Wed, 09 Oct 2019 09:31:19 GMT

Das Perfide ist die Verschlüsselung, da hiermit den üblichen Virenscannern der Zugriff auf den Schadcode verwehrt wird.

Der Virenautor setzt auf die Dummheit, die sich 80 cm vor dem Bildschirm befindet und den Schadcode auf Verlangen entschlüsseln und anschließend trotz Warnungen ausführen soll.

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

mkolberg — Wed, 09 Oct 2019 09:36:29 GMT

Defender in Windows 10 hat bei einem Selbstversuch sofort reagiert!

An welcher Stelle hat der Defender angeschlagen?

- eigentlich hätte die Mail nicht im Posteingang landen dürfen

- beim Öffnen der Mail

- Beim Speichern der entschlüsselten DOC- Anlage?
- oder wurde erst bein Öffnen das Makro geblockt?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

siro — Wed, 09 Oct 2019 11:13:49 GMT

Ich habe mir von einem Kundensystem eine entsprechende msg Datei per Fernwartung auf einen Quarantäne PC geholt. Dann die msg in Outlook geöffnet. Dann beim Versuch die zip Datei zu öffnen schlägt der Defender direkt Alarm und verwirft die Anlage aus der zip.

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Wed, 09 Oct 2019 11:39:48 GMT

die Frage wäre dann nur noch, ob der Defender heuristische Erkennungsmethoden anwandt hat, oder ob die enthaltene Malware, das Makros etc. bereits bekannt war.

Wenn die Malware ganz neu bzw. noch nicht bekannt ist, wird es spannend.

Ich musste mal vor vielen Jahren selbst ein Word-Makro schreiben, um Tausende von macro-verseuchten Word-Dateien zu säubern. Das Makro war ein 'autoopen'-Makro, hatte sich explosionsartig verbreitet und konnte in diesem Moment von keinem der damaligen Virenscanner erkannt oder gar entfernt werden.

Dummerweise verwenden die Antiviren-Software-Hersteller meist einen eigenen Namen für die gleiche Malware und die Detailanalysen sind nur schwer oder gar nicht zu finden. Einige Scanner können die Malware zwar erkennen aber nicht entfernen.

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Wed, 09 Oct 2019 13:13:25 GMT

Nachtrag:

edit: Virenfund ! "TrojanDownloader:O97M/Obfuse.NI!MTB"

Ich habe soeben eine o.g. suspekte E-Mail-Anlage an einem Windows10-Rechner mit Defender getestet.

Beim Entpacken der Zip-Datei wurde die darin enthaltene Word-Datei vom Defender 'postwendend' erkannt und in die Quarantäne geschickt.

Die Bezeichnung der Malware ist wie folgt:

Also, wie schon oben empfohlen :

Nicht anfassen, auch nicht gucken !

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

0815 — Wed, 09 Oct 2019 20:08:19 GMT

Der folgende Fehler ist aufgetreten: [...] Auf dem Computer wurde keine Schadsoftware [...] gefunden.

Typischer Windows-Fehler?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 06:06:23 GMT

... vielleicht mit dem Argument, dass etwas nicht stimmen kann, dass also ein Fehler vorliegen muss, wenn auf einem Windows-Rechner keine Schadsoftware vorhanden ist.

Die Computerviren waren harmlos, als es noch keine Computer gab.

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Thu, 10 Oct 2019 06:12:12 GMT

Was machen Sie denn nun mit der Email? Unterrichten Sie den Mandanten ?

Sieht nach einem Dokument aus, was Makros enhält?

Verraten Sie mehr?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 06:27:11 GMT

Die eMail kam ursprünglich bei einem Mitarbeiter an, der sie dann (glücklicherweise) an mich zur Prüfung weitergeleitet hatte.

Der Absender ist ihm persönlich bekannt. Es war eine längere, bereits bestehende Konversation mit bekanntem Inhalt, mit Antworten, Weiterleitungen usw.

Das Perfide war zusätzlich, dass die ZIP-Datei in der Anlage den Nachnamen des Absenders trug, so als ob ich z.B. jemandem eine Nachricht mit der eMail-Anlage Vogtsburger.zip senden würde. Es gibt sicher einige Personen, die mich für seriös halten und ohne nachzudenken die Anlage öffnen würden.

.... aber solche E-mail-Virenprobleme sind ja anscheinend trivial und "eine alte Leier" und dass man jeden gefährlichen Anhang per "Bauchgefühl" erkennen muss, weil sie immer "komisch" seien.

Ich habe den Mitarbeiter sofort angerufen und ihn gebeten, den angeblichen Absender und die weiteren Empfänger aus der Verteilerliste zu warnen.

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Thu, 10 Oct 2019 07:06:15 GMT

.... aber solche E-mail-Virenprobleme sind ja anscheinend trivial und "eine alte Leier" und dass man jeden gefährlichen Anhang per "Bauchgefühl" erkennen muss, weil sie immer "komisch" seien.

werden die Emails bei Ihnen dann also nicht schon gleichzeitig beim Empfang automatisch gescannt sondern erst dann manuell? Also dann auch noch intern an Sie weitergeleitet und Sie checken die dann? Das ist ja ein tagesfüllender Job.....

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

siro — Thu, 10 Oct 2019 07:27:03 GMT

Ich habe in unserer Kanzlei die Regel eingeführt:
Nichts anfassen, was verdächtig aussieht und nicht mal gucken, sondern zur Prüfung an mich weiterleiten.
Das hat sich bisher gut bewährt, trotz gelegentlicher 'philosophischer' Vergleiche

Ein Hinweis, falls es nicht schon bekannt ist:

Sie können verdächtige Mails an spam@datev.de weiterleiten/senden. Wenn Ihre MA dann sofort einen Ablehnungsbericht erhalten ist die E-Mail bereits als gefährlich bei Datev eingestuft und sollte entsorgt werden.

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Thu, 10 Oct 2019 07:30:30 GMT

Die Idee hatte ich auch, deswegen fragte ich nach, ob Herr Vogtsburger DATEVnet im Einsatz hat. Ich war der Annahme, dass das nur für DATEVnetkunden geht.....

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

0815 — Thu, 10 Oct 2019 07:47:59 GMT

dass das nur für DATEVnetkunden geht.

Davon bin ich auch ausgegangen. Oder kann spam@datev.de jeder nutzen? Weiß da jemand mehr?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 07:56:53 GMT

Hallo Herr Hofmeister,

wie schon weiter oben erwähnt wurde, werden solche E-Mails von den gängigen Virenscannern nicht als Malware erkannt, da die Malware in einer passwortgeschützten E-Mail-Anlage (ZIP-Datei) 'versteckt' ist.

... und selbstverständlich haben wir diverse Sicherheits-Produkte inkl. Virenscanner im Einsatz (... wurde ebenfalls schon erwähnt ...').

Ab und zu (etwa alle paar Tage) rutschen E-Mails durch unser 'Sicherheits-Raster' und sehen verdächtig aus. Manchmal landen auch seriöse E-mails von seriösen Absendern im Spam, die dann in die Whitelist gesetzt werden müssen. Oft sind aber 'komisch' aussehende E-mails auch völlig harmlos. Selbst schlechtes Deutsch ist kein sicheres Merkmal mehr, da schlechtes Deutsch in E-Mails inzwischen sehr verbreitet ist.

Wenn ich mich aber nur auf die IT verlassen würde, hätten wir uns schon längst etwas Schlimmes eingefangen.

Ich wäre froh, wenn man die gesamte Kommunikation komplett über eine sichere Cloud abwickeln könnte anstatt über die Technik der 80er Jahre.

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

siro — Thu, 10 Oct 2019 08:09:40 GMT

Info-Datenbank, Dok.-Nr. 1012978

Punkt 2.1

Prüfen Sie alle E-Mails, Dateien aus dem Internet und alle eingehenden Datenträger (z. B. USB-Sticks, DVDs etc.) vor der Nutzung auf Ihrem PC unter Verwendung der neuesten Virensignaturen.
Verdächtige E-Mails können Sie zur Kontrolle auch kostenfrei an die E-Mail-Adresse spam@datev.de schicken. Dort wird die E-Mail überprüft und Sie erhalten innerhalb kurzer Zeit eine Rückmeldung, ob eine schädliche E-Mail vorliegt.

0815, andreashofmeister

-> damit kann jeder Datev Kunde diesen Dienst nutzen

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Thu, 10 Oct 2019 08:25:57 GMT

Danke! Vielleicht schicken Sie die ZIP-Datei ja tatsächlich mal an die DATEV-Adresse, vogtsburger. Mal schauen, was dabei rauskommt?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

oli83tut — Thu, 10 Oct 2019 09:00:40 GMT

Hallo Community,

allein der Sachverhalt, dass das Passwort in der Selben E-Mail geschrieben ist, sollte einen bedenklich machen. Denn was für einen Sinn hat eine Verschlüsselung einer Datei wenn in der selben Nachricht das Passwort zum Öffnen enthalten ist?!

Viele Grüße

Oliver Steinert

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

bergerflorian — Thu, 10 Oct 2019 09:11:25 GMT

Der Vollständigkeit halber: DATEVnet filtert das doch raus, oder ?

Wir nutzen seit Jahren mit (hoffentlich) gutem Gewissen DATEVnet und o.g. Frage stelle ich mir auch immer, wenn ich so etwas lese. Leider ist sie noch nicht beantwortet, daher stelle ich sie nochmal:

Filtert DATEVnet eigentlich auch (natürlich abgesehen von DayZero-Attacken usw.) Viren/Makroviren/Trojaner usw., die in word-, excel-, pdf-, jpg- usw. Dateien enthalten sind? Aus der Leistungsbeschreibung geht dies leider nicht klar hervor.

MfG,

F. Berger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Thu, 10 Oct 2019 09:15:06 GMT

Aus meiner Erfahrung: ja. Der Schutz schlägt sogar an, wenn "nützliche" Makros ins Dokumenten etc. enthalten ist/sind.

Was dazu kommt ist der Reverse-Scan.

Aber trotzdem wäre eine entsprechende Stellungnahme von DATEV/DATEVnet vielleicht mal ganz hilfreich.

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

0815 — Thu, 10 Oct 2019 09:57:58 GMT

Vielen Dank!

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 10:12:04 GMT

... in den Zeiten von Ransomware ist sogar eine 'Viren-Manufaktur', mit handgestrickten, individualisierten Einzel-Mails eine lukrative 'Geschäftsidee'.

Je gezielter der Angriff, desto erfolgversprechender.

Wenn eine E-Mail die perfekte Banking-Schnittstelle zu sämtlichen bisher inkompatiblen Banken versprechen würde, würden vielleicht auch einige Community-Mitglieder blind, sehr agil und digitalnaiv doppelklicken

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

mkinzler — Thu, 10 Oct 2019 11:33:40 GMT

Es ist gar nicht so trivial, eine Word-Datei anzuschauen, ohne sie mit Word zu öffnen.
Bei alten Word-Formaten soll man erst die Bearbeitung aktivieren,
den alten MS-Wordviewer gibt es nicht mehr
Wordpad kann das Format ebenfalls nicht öffnen
genausowenig wie Google Docs
und mit einem Editor sieht man nur Hieroglyphen.
.... keine Idee, ob es noch andere 'Bordmittel' gibt, um solche potentiell gefährlichen MS Office-Dateien anzuschauen, ohne sie zu öffnen.

OfficeMalScanner

www.reconstructer.org

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 12:12:15 GMT

da ich jetzt weiß, dass ein schädliches Macro enthalten ist, interessiert mich natürlich auch der Quelltext, falls zugänglich.

Ich habe sicher noch irgendwo eine alte Kiste mit installiertem Word 2003 oder ich installiere schnell MS Office 2003 auf einem isolierten Rechner.

... werde dann mal versuchen, Word mit speziellen Parametern (/m oder /a oder /safe oder ....) zu starten, um die automatische Ausführung der AutoOpen- oder AutoExec-Macros zu verhindern.

Wenn der Macro-Quelltext zugänglich ist, kann man evtl. herausfinden, welche Hintertüren geöffnet werden, um die noch gefährlicheren Kandidaten herein zu lassen.

siro, erhält man nur bei einem Malwarefund ein Feedback von spam@datev.de ? .... und wie lange dauert das üblicherweise ?

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

mkinzler — Thu, 10 Oct 2019 12:18:08 GMT

da ich jetzt weiß, dass ein schädliches Macro enthalten ist, interessiert mich natürlich auch der Quelltext, falls zugänglich.

Kann man ja mit dem Tool (in Textdatei) extrahieren.

Man kann die Datei aich auf VirusTotal hochladen, dort wird Sie dann in einer Sandbox analysiert oder man verwendet Sandbox-Tools wie Sandboxie oder cuckoo.

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

siro — Thu, 10 Oct 2019 12:30:55 GMT

Probieren geht über studieren, aber bitte:

Verdächtige Mail gesendet am 29.04.19 um 11:54:16

This message was created automatically by email delivery software.
Could not deliver an email to at least one recipient.
Message sent on 4/29/2019 11:54:23 AM
Subject: WG: Rechnung P-650-JLA3612
Message-Id: <e4f42e7e2fd8446bbe8c45174f96bfde@xxxxxxx
Sender: xxxxxx
The affected recipients are:
spam@datev.de - 550 5.7.1 DANGEROUS, id=44t0PD4VcWz692B, servertime=Apr 29 11:54:25, server=idvmailin03.datev.de, client=xxxxx

und dann noch einen Tag später:

Hallo,
vielen Dank für Ihre Unterstützung von SPAM@datev.de.
Ihre Mail hat unseren SPAM@datev.de
Service gestern um 11:54:25 erreicht, wurde von uns als "schädlich" eingestuft
und die Annahme deshalb automatisiert abgelehnt.
Ihr Provider sollte Ihnen eine Antwortmail mit dem Betreff
"Mail delivery failed" oder ähnlich zugestellt haben.
Empfehlung: Mail ist bedenklich -> löschen
Falls Sie auf einen Link geklickt oder den Anhang ausgeführt haben,
sollten Sie Ihren PC mit einem aktuellen Virenscanner überprüfen.
Bitte klicken Sie auf keinen Link und öffnen Sie keinen Anhang Ihrer Mail.
DATEV ist bemüht, stets richtige und vollständige Informationen zu erteilen.
Dennoch müssen wir für Korrektheit und Vollständigkeit jede Gewähr und Haftung
für mögliche Schäden ausschließen, soweit diese nicht vorsätzlich
oder grob fahrlässig verursacht wurden.
Vielen Dank

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

0815 — Thu, 10 Oct 2019 12:31:19 GMT

Man kann die Datei aich auf VirusTotal hochladen

Da habe ich immer Bedenken, falls es sich dann doch um eine ungefährliche Datei des Mandanten handelt, die in unserem Beruf meist sensible Informationen enthalten wird. Oder ist meine Sorge unberechtigt?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Thu, 10 Oct 2019 12:34:07 GMT

Deswegen einfach an DATEV senden. Das Ergebnis kommt ja recht flott!

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 12:46:35 GMT

... aber nur, wenn Datev etwas findet.

... daher habe ich mal nachgefragt, nach "probieren" und nach "studieren".

Also, falls Datev nichts verdächtig findet, kann man bedenkenlos öffnen ?

... werde ich sicher nicht tun ...

diese Methode mit spam@datev.de kann nur eine schnelle, bequeme Lösung sein, um die offensichtlichen 'Kandidaten' herauszufischen.

Bei raffinierterer Malware versagen viele Scanner

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Thu, 10 Oct 2019 12:48:41 GMT

diese Methode mit spam@datev.de kann nur eine schnelle, bequeme Lösung sein, um die offensichtlichen 'Kandidaten' herauszufischen.
Bei raffinierterer Malware versagen viele Scanner

Na, wenn Sie das sagen.......

und was sagt der DATEV-Test? Haben Sie schon eine Antwort?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 13:24:26 GMT

edit:

und was sagt der DATEV-Test? Haben Sie schon eine Antwort?

.... nein ... eben nicht ...

Eine Art "Autoresponder" als Feedback wäre besser als Stillschweigen, wenn die E-Mail nicht als gefährlich erkannt wird.

edit:

z.B. in der Art: "Wir konnten keine gefährlichen Anhänge oder Links erkennen, allerdings könnte in der passwortgeschützten Datei trotzdem eine Malware enthalten sein."

Aus meiner Sicht ist diese Methode dann auch nicht besser als ein x-beliebiger "Virenschutz" oder "Spamfilter" bei einem Internet-Provider.

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 14:01:05 GMT

Nachtrag:

ich nehme Einiges von dem vorher Geschriebenen zurück.

Es kam tatsächlich jetzt ein Feedback mit der folgenden Virenwarnung:

(der restliche Text ist uninteressant)

Anscheinend wurde nach Eingang doch noch eine weitere Prüfung angestoßen.

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

andreashofmeister — Thu, 10 Oct 2019 14:38:18 GMT

Aus meiner Sicht ist diese Methode dann auch nicht besser als ein x-beliebiger "Virenschutz" oder "Spamfilter" bei einem Internet-Provider.

Und, diese Aussage können Sie nun auch entkräften? Oder ist die noch haltbar?

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Thu, 10 Oct 2019 15:06:51 GMT

Ich hatte ja nicht damit gerechnet, dass sich Herr Dr. Robert Mayr persönlich ca 4 Stunden lang um die Prüfung dieser einzelnen suspekten E-Mail kümmert.

Spaß beiseite, Datev hat hier tatsächlich ein großes Lob verdient.

Als Anwender ist man natürlich sehr dankbar für eine solche klare Aussage.

Rein technisch würde mich interessieren, ob ein automatischer Prozess dahinter steht.

Extrahiert und öffnet man automatisiert die Anlagen, knackt man evtl. sogar die Passwörter mit Brute Force oder erledigen Menschen einen Teil der Arbeit ?

Jedenfalls war der konkrete Härtetest erfolgreich.

Ich bin hier sehr zufrieden mit dem Ergebnis.

Michael Vogtsburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

Alexander_Volk — Fri, 11 Oct 2019 14:45:43 GMT

Hallo Herr Hofmeister, hallo Mitleser/-schreiber,

anbei eine Kurzbeschreibung der Schutzmechanismen von DATEVnet und deren Nutzen im vorliegenden Fall:

DATEVnet setzt zur Erkennung von Schadsoftware mehrere Virenscanner unterschiedlicher Hersteller, sowie einen eigenen Virenscanner ein. Hierdurch wird einen überdurchschnittliche Erkennungsquote von 99,9993% erreicht. Zusätzlich werden durch den DATEVnet Reverse-Scan Mails 24 Stunden rückwirkend weiterhin auf Schadsoftware gescannt. Somit können Viren erkannt werden, die zum Zeitpunkt der Zustellung noch nicht durch die Scanner erkannt wurden. Der Kunde wird hierüber umgehend informiert.

Mails mit ZIP-Dateien im Anhang werden entpackt und ebenfalls auf Schadsoftware untersucht. Wenn diese Dateien passwortgeschützt sind, kann der Inhalt der Dateien nicht automatisiert geprüft werden. Diese Dateien können nur durch Ihre Dateieigenschaften erkannt und geblockt werden. Passwortgeschützte Dateien sollten deshalb nur nach Rücksprache mit dem Absender geöffnet werden. Dies gilt insbesondere dann, wenn das Passwort bereits in der E-Mail enthalten ist. Da hier ein Passwortschutz meist nur dem Zweck der Verschleierung von Schadcode dient.

Wenn Sie nicht sicher sind, ob es sich um eine vertrauenswürdige Mail handelt können DATEV-Kunden diese zur Prüfung an spam@datev.de senden. Die Mail wird dort zunächst automatisiert auf Schadsoftware geprüft. Wird die Mail hierbei eindeutig als virulent erkannt, wird die Annahme der Mail sofort abgelehnt und Sie erhalten umgehend eine entsprechende Information. Ist die automatisierte Bewertung der Mail nicht eindeutig, wird diese manuell von einem DATEV-Mitarbeiter überprüft und Sie erhalten eine Rückmeldung über das Prüfergebnis. Sollte hierbei noch unbekannter Schadcode entdeckt werden, passen wir umgehend die Signaturen unserer Virenscanner an und senden diese ebenfalls an die Hersteller der von uns eingesetzten Virenscanner.

Hierdurch kann Schadsoftware sowohl bei allen künftigen Mails, als auch beim DATEV-Reverse-Scan erkannt werden.

Grüße aus Nürnberg und ein schönes Wochenende

DATEV eG

Alexander Volk

Abt. Datensicherheit

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

vogtsburger — Fri, 11 Oct 2019 15:25:49 GMT

Vielen Dank alexandervolk, für die Aufklärung

.... noch kurz (interessehalber) :

Aus meiner Erfahrung ist es erstmal ungefährlich, eine Zip-Datei zu entpacken.

Meiner Meinung nach kann nämlich kein Prozess durch das bloße Entpacken automatisch starten und keine Datei automatisch ausgeführt werden, oder liege ich da etwa falsch ?

Anschließend hat man ja dann wesentlich bessere Möglichkeiten, die Datei(en) auf Malware zu scannen.

Michael Vogtburger

Re: Warnung vor E-Mail-Anlagen, die sich an bereits vorhandene E-Mail-Konversationen anhängen

bergerflorian — Fri, 11 Oct 2019 15:30:37 GMT

Sehr geehrter Herr Volk,

vielen Dank für Ihre Antwort.

Kann also dann davon ausgegangen werden, dass DATEVnet nicht nur Schadsoftware in "klassisch" viruspotentiellen Dateitypen (exe, bat, usw. --> vgl. Liste in der Leistungsbeschreibung) findet, sondern darüber hinaus auch solche, die sich in word-, excel-, pdf-, jpg- usw. Dateien verstecken? Denn darüber schweigt sich die Leistungsbeschreibung leider aus.

Mit freundlichen Grüßen,

F. Berger