Hallo liebe Community,
die Schädlingsattacken lassen nicht nach. Momentan gibt es eine neue Welle von Spam Mails in der virulente Anhänge vorhanden sind.
Der Betreff der Mails lautet „VAT Invoice - Quote Ref: ES0142570".
In der Mail ist ein Word docm oder docx mit Makros als Anlage. Die Erkennung der AV Hersteller ist momentan sehr schlecht.
Es existieren verschiedene Varianten die unter DATEVnet als geblockt, gewrappt oder mit Mail-Radar Orange behandelt wurden.
Um dem zusätzlich entgegenzuwirken, haben wir noch eigene Antiviren Pattern generiert.
Mit freundlichem Gruß
Usman Irshad
VIWAS Service
DATEV eG
Unsere Kanzlei erreichen derzeit Spam-Mails, die als Bewerbungsschreiben getarnt sind. In der Anlage findet sich eine Bilddatei mit dem "Bewerber", die "Bewerbungsunterlagen" scheinen in einem Zip-Ordner enthalten zu sein. Im ZIP-Ordner sind aber "nur" zwei Skripte enthalten.
Perfide ist, dass die Mails alle von einer (scheinbar) individuellen T-Online.de E-Mail-Adresse stammen sollen. Auch werden unterschiedliche Quellen, in denen die Stellenanzeige (angeblich) veröffentlicht sein soll, genannt.
mit freundlichen Grüßen
Andreas G. Müller
Und führt man eines der Skripte aus, wird Cerber aktiv!
Nochmals ganz deutlich: Bei den Bewerbungsmails handelt es sich um "cerber", einen Verschlüsselungstrojaner wie "Locky".
Viwas wird diesen Virus nicht bemerken (zumindest bis vor kurzem). Es dauert dann ein paar Stunden und man wird feststellen, dass seine Daten defekt sind.
Stoppen / Entfernen lässt sich der Virus recht gut. Die Daten sind und bleiben allerdings defekt. Muss man sich aus einer Sicherung wieder zusammen suchen oder die ganze Maschine zurücksetzen.
Am besten man nutzt einen transparenten POP3(s) Proxy mit Virenerkennung (selbst ClamAV tut was er soll und packt diese Mails) oder hat einen In-Haus Mailserver (z.B. Kerio Connect mit Sophos = auch der packt diese Mails). Als Firewall mit Mail-Proxy tut´s meinetwegen NethServer (CentOS). NethServer kann man dann auch gleich als HTTP Proxy (transparent) vorschalten etc.. Ein gutes Plus an Sicherheit für "lau".
Noch simpler: Ein "beschissener" anderer Virenscanner als Viwas tut auch was er soll. Habe inzwischen Ikarus.Antivirus erfolgreich auf DATEV Umgebungen am laufen. Sowohl lokal wie auch am Terminal-Server.
Alle aufgezeigten möglichkeiten "machen was sie sollen" - sicherlich gibt´s bestimmt bessers aka SecurePoint und was auch immer - aber lieber so eine kostenlose (OpenSource) Lösung vorgeschaltet oder einen anderen Virenschutz wie nicht unternehmen.
Unsere Kanzlei erreichen derzeit Spam-Mails, die als Bewerbungsschreiben getarnt sind. In der Anlage findet sich eine Bilddatei mit dem "Bewerber", die "Bewerbungsunterlagen" scheinen in einem Zip-Ordner enthalten zu sein. Im ZIP-Ordner sind aber "nur" zwei Skripte enthalten.
Nutzen Sie DATEVnet? Kommen die Mails also an DATEVnet vorbei? Könnte ich nicht ganz nachvollziehen...
VIWAS ist als alleiniger Schutz ungeeignet. Das sehe ich auch so.
Oder eine auf die besondere Betdrohung spezialisiert Lösung
Nein wir Nutzen kein DATEVnet.
Die "Qualität" von VIWAS kann ich noch nicht beurteilen. Es war aber der einzige Virenscanner der zu einem - scheinbar - vernünftigen Preis-Leistungs-Verhältnis unseren Server an dieser Stelle absichern kann.
Ein Virenscanner allein ist nicht optimal, der ist nur noch die letzte Instanz vor dem Gau. Da lässt sich mit 100% Sicherheit mit keinem Anbieter ein Blumentopf gewinnen. Ich würde mir Gedanken machen über eine Lösung, die noch vor dem PC des Anwenders aktiv ist. Klar, DATEVnet ist das Einfachste, ansonsten vergleichbare (serverseitige) Lösungen nutzen.
Unser Dienstleister hatte uns damals ein Produkt von Trend Micro empfohlen. Das war eine Appliance, die quasi die Schnittstelle zur Außenwelt war. Die Box kostete einmalig, dazu kamen die Wartungsupdates und die Überwachung derselben. Ich weiß leider den Namen nicht mehr, ist schon einige Jahre her.
Wir haben es durchgerechnet. Bei einem vergleichbaren Sicherheitsniveau wie DATEVnet hatten wir fast gleiche Kosten und haben dann DATEVnet gewählt. Klar, 100% Sicherheit kann keine Lösung bieten, auch DATEVnet nicht. Aber insgesamt passt es schon. Lokale Installationen, die wir ständig selbst überwachen müssen, waren für uns keine Option. Letztlich war uns die eigene Arbeitszeit zu wertvoll dafür.
Nur am Rande:
Kurztest: Habe mich die letzten Tage einmal mit Virenmails meiner Kunden, insbesondere derer mit *.docm Mails "beschossen". Diese Mails lehne ich am Kunden-Mail-Server (im Hause) bereits ab. Sie kommen also nicht bei meinem Kunden an.
Trotzdem hab ich mal ein paar Mails abgegriffen und zu mir in ein "offenes System" weiter geleitet. Nur ein lokaler Virenschutz ist auf dem Testsystem aktiv.
Virenschutz für Server können teuer sein, darum lässt vielleicht der eine oder andere seinen Server ungeschützt oder arbeitet mit VIWAS. Bemerkt der inzwischen diese Trojaner?
Einer der günstigsten Scanner, den man auf einem Windows-Server (auch Terminal-Server) wohl laufen lassen kann ist bestimmt F-Prot mit ca. 50 USD / Jahr für 10 Machinen, auch Server mit einer Lizenz!!! Quasi ein "Witz".
So schlecht wie sein Ruf, ist dieser Scanner anscheinend seit der Eingliederung zu Cyren wirklich nicht mehr. OK - Er ist "Old-School" nur Signatur basiert aber beim Öffnen dieser Mails mit Macro-Virus, schlägt F-Prot zuverlässig an.
Ein Virenscanner allein ist nicht optimal, der ist nur noch die letzte Instanz vor dem Gau. Da lässt sich mit 100% Sicherheit mit keinem Anbieter ein Blumentopf gewinnen. Ich würde mir Gedanken machen über eine Lösung, die noch vor dem PC des Anwenders aktiv ist.
Ich sags gerne immer wieder, Virtualisierung ist ok (u. u.a. einer der Gründe warum nicht alle RZs in Nürnberg, bei Amazon und Google flächendeckend verseucht sind).