Achtung: Momentan wieder aktuell unterwegs: Bewerbungsmails von: "Julian Heyne". Ganz gut gemachtes Anschreiben mit Lichtbild. Anhang ist Zip-Archiv welches dann den Schadcode enthält.
Sophos auf Mail-Server Kerio-Connect findet und löscht die Mail. So wie bei mir eben ausgetestet. Was bemerkenswert ist: Andere Scanner wie Cyren & ClamAV im Mail-Proxy bemerken (noch) nichts. Virenscanner Webroot merkt auch nichts und VIWAS bei meinem Kunden natürlich auch nichts.
Wie auch immer: Einer hat gepackt, nichts passiert...
Beitrag vom Nutzer gelöscht
Hallo Herr Windmann,
wissen Sie zufällig ob der Kunde auch unter der McAfee VirusScan-Konsole die McAfee GTI aktiviert hat oder nicht? Das könnte ein entscheidender Faktor bei der Erkenunng des Schädlings sein.
Viele Grüße
Usman Irshad
VIWAS/DATEVnet Service
DATEV eG
Hallo,
besteht die Möglichkeit, dass das Schadprogramm bereits beim Öffnen der HTML-Mail aktiviert wird?
Oder ist nur das Öffnen von Anhängen oder Links riskant?
Es geht auch um die Frage, ob in Outlook beim Posteingang die Schnellansicht besser auszuschalten ist.
Beste Grüße
Thomas Hollmann
Hallo Herr Windmann,
nach Rücksprache mit meinen DATEVnet Kollegen wurden bei uns Logfiles ausgewertet.
Darin konnte man gut sehen, dass unsere "selbstgebauten" Signaturen die Bewerbung "Julian Heyne.zip" am 30.08 um 07:43:51 Uhr das erste mal erkannt und die Mail daraufhin auch geblockt hat. Seit diesem Zeitpunkt werden die Mails mit diesem Anhang auch permanent geblockt.
Viele Grüße
Usman Irshad
VIWAS/DATEVnet Service
DATEV eG
Hallo Herr Hollmann,
der Schädling wird erst aktiv, wenn der Link welcher sich in der Mail befindet angeklickt oder die Anlage geöffnet wird. Diese Aktionen werden jedoch dann in der Regel von Virenscannern unterbunden.
Wenn der Schädling dem Virenscanner noch nicht bekannt ist (Signaturen sind nicht aktuell oder erkennen den Virus/Trojaner noch nicht), dann wäre ihr System anschließend infiziert.
Deswegen ist es wichtig die Signaturen stets aktuell zu halten und auch regelmäßige Prüfläufe der Systeme durchzuführen. Vorallem die Virescans werden oft vernachlässigt.
Viele Grüße
Usman Irshad
VIWAS/DATEVnet Service
DATEV eG