Hallo Community,
zur Zeit verbreiten sich offenbar wieder verstärkt E-Mails mit virenverseuchten Anhängen.
Das Perfide ist, dass sie sich gerne an bereits vorhandene E-Mail-Konversationen anhängen.
Bei uns sind schon einzelne 'Exemplare' aufgetaucht.
Die Anlage ist eine passwortgeschützte zip-Datei.
Der E-Mail-Text ist nichtssagend, verweist auf die Anlage und enthält im Text das Passwort für die Zip-Datei.
Allerdings wirkt die E-Mail sehr seriös, da sie schon eine vorhandene längere Konversation mit Partnern oder Mandanten enthält und wie eine Fortführung oder Weiterleitung wirkt.
In der Zipdatei steckt aber ein Worddokument im Word 97-2003-Format, das Makros enthält.
Auch das BSI warnt wieder aktuell vor dem Emotet-Virus
siehe https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Emotet-Warnung_230919.html
VG
Michael Vogtsburger
edit: Tippfehler korrigiert
Gelöst! Gehe zu Lösung.
Der Vollständigkeit halber: DATEVnet filtert das doch raus, oder ?
wir haben kein DATEVnet
Aber auch nur ganz wenige Virenscanner erkennen hier eine Gefahr.
Defender in Windows 10 hat bei einem Selbstversuch sofort reagiert!
... muss ich bei mir noch testen, ob der Defender 'anschlägt'.
Es ist gar nicht so trivial, eine Word-Datei anzuschauen, ohne sie mit Word zu öffnen.
Bei alten Word-Formaten soll man erst die Bearbeitung aktivieren,
den alten MS-Wordviewer gibt es nicht mehr
Wordpad kann das Format ebenfalls nicht öffnen
genausowenig wie Google Docs
und mit einem Editor sieht man nur Hieroglyphen.
.... keine Idee, ob es noch andere 'Bordmittel' gibt, um solche potentiell gefährlichen MS Office-Dateien anzuschauen, ohne sie zu öffnen.
VG
Michael Vogtsburger
Ach Herr vogtsburger, das ist doch alles immer wieder der gleiche alte Hut und immer dieselbe Leier. Und selbst wenn da E-Mail Konversation dran hängt, die man kennt - wer auf solche Dinge reinfällt ist nicht für die digitale Welt geeignet. Klingt hart aber dem ist leider so.
Augen auf und Kopf ein kann kein Virenscanner ersetzen.
Es sind jedes Mal E-Mail Anhänge, die rein vom Bauch her komisch sind. Ob da nun was echtes dran hängt oder nicht. Skepsis kann nie falsch sein. Und wenn's echt ist, ruft derjenige an oder schickt das gleiche nochmal.
Nachtrag: E-Mails sind Postkarten und kein Schreiben zur Vorladung einer Gerichtsverhandlung. Kann so wichtig also nicht sein, sonst gäbe es nicht das beA .
Ach Herr metalposaunist, Sie sehen solche Themen anscheinend immer nur aus der Perspektive eines IT-Freaks und fühlen sich hier unverwundbar.
In der Kanzleipraxis hat man es aber nur zu einem kleinen Teil mit IT-Freaks zu tun, sondern hauptsächlich mit vielen unterschiedlichen Menschen, die ihre normale Arbeit möglichst schnell, gut und bequem erledigen wollen, ohne viel über die technischen Details zu wissen.
Und wenn dann mal wirklich was passiert, ist es sicher kein böser Wille des Kanzleimitarbeiters, sondern der böse Wille des Angreifers, der es geschafft hat, Andere zu schädigen.
... und der ITler steht daneben, grinst und sagt "... selbst Schuld ! Kopf einschalten!"
Bei jedem Verkehrsunfall könnte man das Gleiche sagen
VG
Michael Vogtsburger
In der Kanzleipraxis hat man es aber nur zu einem kleinen Teil mit IT-Freaks zu tun, sondern hauptsächlich mit vielen unterschiedlichen Menschen, die ihre normale Arbeit möglichst schnell, gut und bequem erledigen wollen, ohne viel über die technischen Details zu wissen.
Nun ja, bei Email-Anhängen ist es egal, ob "IT-Freak" oder nicht. Hier gibt es eben das "Gebot der Vorsicht". Wie handhaben Sie denn den Eingang von unsicheren Emails? Etwa den Einsatz von irgendwelchen "Bordmitteln" zum Öffnen einer profanen Worddatei? Haben Sie keinen Email-Virenscan vorgeschaltet, der Ihnen solche Dateien schon mal vorab scannt?
Da ist Herrn metalposaunist nur zuzustimmen: "Skepsis kann nie falsch sein".
Und ständige Sensibilisierung!
Skeptisch zu sein ist nicht nur Empfehlung, sondern eine Selbstverständlichkeit !
Ich hatte in unserem Netzwerk sogar schon den Empfang von MS Office-Dateien komplett blockiert.
... funktioniert nur leider nicht, da es immer wieder Fälle gibt, bei denen man die Original-Dateien zwischen E-Mail-Partnern austauschen will/muss.
Soviel zum Thema Skepsis und Vorsichtsmaßnahmen.
Egal ! Wenn sich mit "Augen auf und Kopf einschalten", einem E-Mail-Scanner und einer Firewall schon gegen alle Malware-Angriffe gewappnet glaubt, kann es ja so machen.
Als Analogie:
Und wer sich mit "Augen auf und Kopf einschalten" in ein deutsches Krankenhaus begibt, hat immer noch ein hohes Risiko, sich einen multiresistenten Keim einzufangen, weil eben die Profis (Ärzte, Schwestern, Putzkolonne, Krankenhausverwaltung etc.) kein gutes Hygiene-Management haben.
Ich bin überzeugt, dass es wesentlich mehr Fälle von Malwareangriffen in der Industrie, Behörden, großen und kleinen Unternehmen und Organisationen gibt als öffentlich bekannt gemacht wird.
Viele Angriffe werden vermutlich 'stillschweigend' vertuscht, um nicht noch zusätzlich zum wirtschaftlichen Schaden einen Image-Schaden zu haben.
Sei's drum.
Wenn das eine ewige "Leier" ist, dass eben weiter mit der Parole "Augen auf und Kopf einschalten !"
VG
Michael Vogtsburger
Als Analogie:
Und wer sich mit "Augen auf und Kopf einschalten" in ein deutsches Krankenhaus begibt, hat immer noch ein hohes Risiko, sich einen multiresistenten Keim einzufangen, weil eben die Profis (Ärzte, Schwestern, Putzkolonne, Krankenhausverwaltung etc.) kein gutes Hygiene-Management haben.
Sie haben auch immer so tolle philosophische Vergleiche......
Schauen Sie mal in den Tageszeitungen nach Computer-Virusattacken gegen deutsche Kliniken. Das wäre dann m.E. schon relevanter. Krankenhauskeime sind zwar auch Viren, aber hier nicht unser Ressort.
Sie nutzen kein DATEVnet antworteten Sie auf meine Frage zu Ihrem Ausgangsbeitrag. Wie scannen Sie denn Emails?
Nur mal so aus Interesse, denn mit "Blocken" kommen Sie ja scheinbar auch nicht weiter. Haben Sie eine alternative Lösung zu DATEVnet?
Und wenn man sich die Statistiken zu Virenattacken auf die DATEV mal anschaut, dann ist das auch nicht unerheblich. Zumindest ist diese Zahl bekannt. Im Gegensatz zu der von Ihnen vermuteten Fallzahl von Malwareangriffen...
Sie haben auch immer so tolle philosophische Vergleiche......
Wenn solche Vergleiche schon philosophisch sind, dann bin ich etwa schon ein großer Philosoph ?
... aber es stimmt, ich mag Analogien
Meine Devise: Analogien sind besser als Digitalis oder Digitoxin !
VG
Michael Vogtsburger
.. aber zurück zu Ihrer Frage:
Ich habe in unserer Kanzlei die Regel eingeführt:
Nichts anfassen, was verdächtig aussieht und nicht mal gucken, sondern zur Prüfung an mich weiterleiten.
Das hat sich bisher gut bewährt, trotz gelegentlicher 'philosophischer' Vergleiche
Nachtrag:
Selbstverständlich haben wir auch diverse Sicherheits-Produkte und -mechanismen vorgeschaltet.
Ich möchte sie allerdings hier nicht weiter diskutieren, da so etwas wieder (als Analogie) in einen 'Glaubenskrieg' ausarten kann, nach dem Motto: Wer hat den besten Virenscanner, die schönsten geschützten Ports, die dickste Firewall und die sichersten Protokolle ...
Also checken Sie die an Sie weitergeleiteten "verdächtigten" Mails? Potzblitz!
Ok. Das klingt nach einem durchdachtem Prozess. ...kann aber irgendwann zum Bedarf von Digitalis führen.....
Das Perfide ist die Verschlüsselung, da hiermit den üblichen Virenscannern der Zugriff auf den Schadcode verwehrt wird.
Der Virenautor setzt auf die Dummheit, die sich 80 cm vor dem Bildschirm befindet und den Schadcode auf Verlangen entschlüsseln und anschließend trotz Warnungen ausführen soll.
Defender in Windows 10 hat bei einem Selbstversuch sofort reagiert!
An welcher Stelle hat der Defender angeschlagen?
- eigentlich hätte die Mail nicht im Posteingang landen dürfen
- beim Öffnen der Mail
- Beim Speichern der entschlüsselten DOC- Anlage?
- oder wurde erst bein Öffnen das Makro geblockt?
Ich habe mir von einem Kundensystem eine entsprechende msg Datei per Fernwartung auf einen Quarantäne PC geholt. Dann die msg in Outlook geöffnet. Dann beim Versuch die zip Datei zu öffnen schlägt der Defender direkt Alarm und verwirft die Anlage aus der zip.
die Frage wäre dann nur noch, ob der Defender heuristische Erkennungsmethoden anwandt hat, oder ob die enthaltene Malware, das Makros etc. bereits bekannt war.
Wenn die Malware ganz neu bzw. noch nicht bekannt ist, wird es spannend.
Ich musste mal vor vielen Jahren selbst ein Word-Makro schreiben, um Tausende von macro-verseuchten Word-Dateien zu säubern. Das Makro war ein 'autoopen'-Makro, hatte sich explosionsartig verbreitet und konnte in diesem Moment von keinem der damaligen Virenscanner erkannt oder gar entfernt werden.
Dummerweise verwenden die Antiviren-Software-Hersteller meist einen eigenen Namen für die gleiche Malware und die Detailanalysen sind nur schwer oder gar nicht zu finden. Einige Scanner können die Malware zwar erkennen aber nicht entfernen.
VG
Michael Vogtsburger
Nachtrag:
edit: Virenfund ! "TrojanDownloader:O97M/Obfuse.NI!MTB"
Ich habe soeben eine o.g. suspekte E-Mail-Anlage an einem Windows10-Rechner mit Defender getestet.
Beim Entpacken der Zip-Datei wurde die darin enthaltene Word-Datei vom Defender 'postwendend' erkannt und in die Quarantäne geschickt.
Die Bezeichnung der Malware ist wie folgt:
Also, wie schon oben empfohlen :
Nicht anfassen, auch nicht gucken !
VG
Michael Vogtsburger
Der folgende Fehler ist aufgetreten: [...] Auf dem Computer wurde keine Schadsoftware [...] gefunden.
Typischer Windows-Fehler?
... vielleicht mit dem Argument, dass etwas nicht stimmen kann, dass also ein Fehler vorliegen muss, wenn auf einem Windows-Rechner keine Schadsoftware vorhanden ist.
Die Computerviren waren harmlos, als es noch keine Computer gab.
VG
Michael Vogtsburger
Was machen Sie denn nun mit der Email? Unterrichten Sie den Mandanten ?
Sieht nach einem Dokument aus, was Makros enhält?
Verraten Sie mehr?
Die eMail kam ursprünglich bei einem Mitarbeiter an, der sie dann (glücklicherweise) an mich zur Prüfung weitergeleitet hatte.
Der Absender ist ihm persönlich bekannt. Es war eine längere, bereits bestehende Konversation mit bekanntem Inhalt, mit Antworten, Weiterleitungen usw.
Das Perfide war zusätzlich, dass die ZIP-Datei in der Anlage den Nachnamen des Absenders trug, so als ob ich z.B. jemandem eine Nachricht mit der eMail-Anlage Vogtsburger.zip senden würde. Es gibt sicher einige Personen, die mich für seriös halten und ohne nachzudenken die Anlage öffnen würden.
.... aber solche E-mail-Virenprobleme sind ja anscheinend trivial und "eine alte Leier" und dass man jeden gefährlichen Anhang per "Bauchgefühl" erkennen muss, weil sie immer "komisch" seien.
Ich habe den Mitarbeiter sofort angerufen und ihn gebeten, den angeblichen Absender und die weiteren Empfänger aus der Verteilerliste zu warnen.
VG
Michael Vogtsburger
.... aber solche E-mail-Virenprobleme sind ja anscheinend trivial und "eine alte Leier" und dass man jeden gefährlichen Anhang per "Bauchgefühl" erkennen muss, weil sie immer "komisch" seien.
werden die Emails bei Ihnen dann also nicht schon gleichzeitig beim Empfang automatisch gescannt sondern erst dann manuell? Also dann auch noch intern an Sie weitergeleitet und Sie checken die dann? Das ist ja ein tagesfüllender Job.....
Ich habe in unserer Kanzlei die Regel eingeführt:Nichts anfassen, was verdächtig aussieht und nicht mal gucken, sondern zur Prüfung an mich weiterleiten.
Das hat sich bisher gut bewährt, trotz gelegentlicher 'philosophischer' Vergleiche
Ein Hinweis, falls es nicht schon bekannt ist:
Sie können verdächtige Mails an spam@datev.de weiterleiten/senden. Wenn Ihre MA dann sofort einen Ablehnungsbericht erhalten ist die E-Mail bereits als gefährlich bei Datev eingestuft und sollte entsorgt werden.
Die Idee hatte ich auch, deswegen fragte ich nach, ob Herr Vogtsburger DATEVnet im Einsatz hat. Ich war der Annahme, dass das nur für DATEVnetkunden geht.....
dass das nur für DATEVnetkunden geht.
Davon bin ich auch ausgegangen. Oder kann spam@datev.de jeder nutzen? Weiß da jemand mehr?
Hallo Herr Hofmeister,
wie schon weiter oben erwähnt wurde, werden solche E-Mails von den gängigen Virenscannern nicht als Malware erkannt, da die Malware in einer passwortgeschützten E-Mail-Anlage (ZIP-Datei) 'versteckt' ist.
... und selbstverständlich haben wir diverse Sicherheits-Produkte inkl. Virenscanner im Einsatz (... wurde ebenfalls schon erwähnt ...').
Ab und zu (etwa alle paar Tage) rutschen E-Mails durch unser 'Sicherheits-Raster' und sehen verdächtig aus. Manchmal landen auch seriöse E-mails von seriösen Absendern im Spam, die dann in die Whitelist gesetzt werden müssen. Oft sind aber 'komisch' aussehende E-mails auch völlig harmlos. Selbst schlechtes Deutsch ist kein sicheres Merkmal mehr, da schlechtes Deutsch in E-Mails inzwischen sehr verbreitet ist.
Wenn ich mich aber nur auf die IT verlassen würde, hätten wir uns schon längst etwas Schlimmes eingefangen.
Ich wäre froh, wenn man die gesamte Kommunikation komplett über eine sichere Cloud abwickeln könnte anstatt über die Technik der 80er Jahre.
VG
Michael Vogtsburger
Info-Datenbank, Dok.-Nr. 1012978
Punkt 2.1
Prüfen Sie alle E-Mails, Dateien aus dem Internet und alle eingehenden Datenträger (z. B. USB-Sticks, DVDs etc.) vor der Nutzung auf Ihrem PC unter Verwendung der neuesten Virensignaturen.
Verdächtige E-Mails können Sie zur Kontrolle auch kostenfrei an die E-Mail-Adresse spam@datev.de schicken. Dort wird die E-Mail überprüft und Sie erhalten innerhalb kurzer Zeit eine Rückmeldung, ob eine schädliche E-Mail vorliegt.
-> damit kann jeder Datev Kunde diesen Dienst nutzen
Danke! Vielleicht schicken Sie die ZIP-Datei ja tatsächlich mal an die DATEV-Adresse, vogtsburger. Mal schauen, was dabei rauskommt?
Hallo Community,
allein der Sachverhalt, dass das Passwort in der Selben E-Mail geschrieben ist, sollte einen bedenklich machen. Denn was für einen Sinn hat eine Verschlüsselung einer Datei wenn in der selben Nachricht das Passwort zum Öffnen enthalten ist?!
Viele Grüße
Oliver Steinert
Der Vollständigkeit halber: DATEVnet filtert das doch raus, oder ?
Wir nutzen seit Jahren mit (hoffentlich) gutem Gewissen DATEVnet und o.g. Frage stelle ich mir auch immer, wenn ich so etwas lese. Leider ist sie noch nicht beantwortet, daher stelle ich sie nochmal:
Filtert DATEVnet eigentlich auch (natürlich abgesehen von DayZero-Attacken usw.) Viren/Makroviren/Trojaner usw., die in word-, excel-, pdf-, jpg- usw. Dateien enthalten sind? Aus der Leistungsbeschreibung geht dies leider nicht klar hervor.
MfG,
F. Berger