Aus meiner Erfahrung: ja. Der Schutz schlägt sogar an, wenn "nützliche" Makros ins Dokumenten etc. enthalten ist/sind.
Was dazu kommt ist der Reverse-Scan.
Aber trotzdem wäre eine entsprechende Stellungnahme von DATEV/DATEVnet vielleicht mal ganz hilfreich.
Vielen Dank!
... in den Zeiten von Ransomware ist sogar eine 'Viren-Manufaktur', mit handgestrickten, individualisierten Einzel-Mails eine lukrative 'Geschäftsidee'.
Je gezielter der Angriff, desto erfolgversprechender.
Wenn eine E-Mail die perfekte Banking-Schnittstelle zu sämtlichen bisher inkompatiblen Banken versprechen würde, würden vielleicht auch einige Community-Mitglieder blind, sehr agil und digitalnaiv doppelklicken
Es ist gar nicht so trivial, eine Word-Datei anzuschauen, ohne sie mit Word zu öffnen.
Bei alten Word-Formaten soll man erst die Bearbeitung aktivieren,
den alten MS-Wordviewer gibt es nicht mehr
Wordpad kann das Format ebenfalls nicht öffnen
genausowenig wie Google Docs
und mit einem Editor sieht man nur Hieroglyphen.
.... keine Idee, ob es noch andere 'Bordmittel' gibt, um solche potentiell gefährlichen MS Office-Dateien anzuschauen, ohne sie zu öffnen.
OfficeMalScanner
da ich jetzt weiß, dass ein schädliches Macro enthalten ist, interessiert mich natürlich auch der Quelltext, falls zugänglich.
Ich habe sicher noch irgendwo eine alte Kiste mit installiertem Word 2003 oder ich installiere schnell MS Office 2003 auf einem isolierten Rechner.
... werde dann mal versuchen, Word mit speziellen Parametern (/m oder /a oder /safe oder ....) zu starten, um die automatische Ausführung der AutoOpen- oder AutoExec-Macros zu verhindern.
Wenn der Macro-Quelltext zugänglich ist, kann man evtl. herausfinden, welche Hintertüren geöffnet werden, um die noch gefährlicheren Kandidaten herein zu lassen.
siro, erhält man nur bei einem Malwarefund ein Feedback von spam@datev.de ? .... und wie lange dauert das üblicherweise ?
VG
Michael Vogtsburger
da ich jetzt weiß, dass ein schädliches Macro enthalten ist, interessiert mich natürlich auch der Quelltext, falls zugänglich.
Kann man ja mit dem Tool (in Textdatei) extrahieren.
Man kann die Datei aich auf VirusTotal hochladen, dort wird Sie dann in einer Sandbox analysiert oder man verwendet Sandbox-Tools wie Sandboxie oder cuckoo.
Probieren geht über studieren, aber bitte:
Verdächtige Mail gesendet am 29.04.19 um 11:54:16
This message was created automatically by email delivery software.
Could not deliver an email to at least one recipient.
Message sent on 4/29/2019 11:54:23 AM
Subject: WG: Rechnung P-650-JLA3612
Message-Id: <e4f42e7e2fd8446bbe8c45174f96bfde@xxxxxxx
Sender: xxxxxx
The affected recipients are:
spam@datev.de - 550 5.7.1 DANGEROUS, id=44t0PD4VcWz692B, servertime=Apr 29 11:54:25, server=idvmailin03.datev.de, client=xxxxx
und dann noch einen Tag später:
Hallo,
vielen Dank für Ihre Unterstützung von SPAM@datev.de.
Ihre Mail hat unseren SPAM@datev.de
Service gestern um 11:54:25 erreicht, wurde von uns als "schädlich" eingestuft
und die Annahme deshalb automatisiert abgelehnt.
Ihr Provider sollte Ihnen eine Antwortmail mit dem Betreff
"Mail delivery failed" oder ähnlich zugestellt haben.
Empfehlung: Mail ist bedenklich -> löschen
Falls Sie auf einen Link geklickt oder den Anhang ausgeführt haben,
sollten Sie Ihren PC mit einem aktuellen Virenscanner überprüfen.
Bitte klicken Sie auf keinen Link und öffnen Sie keinen Anhang Ihrer Mail.
DATEV ist bemüht, stets richtige und vollständige Informationen zu erteilen.
Dennoch müssen wir für Korrektheit und Vollständigkeit jede Gewähr und Haftung
für mögliche Schäden ausschließen, soweit diese nicht vorsätzlich
oder grob fahrlässig verursacht wurden.
Vielen Dank
Man kann die Datei aich auf VirusTotal hochladen
Da habe ich immer Bedenken, falls es sich dann doch um eine ungefährliche Datei des Mandanten handelt, die in unserem Beruf meist sensible Informationen enthalten wird. Oder ist meine Sorge unberechtigt?
Deswegen einfach an DATEV senden. Das Ergebnis kommt ja recht flott!
... aber nur, wenn Datev etwas findet.
... daher habe ich mal nachgefragt, nach "probieren" und nach "studieren".
Also, falls Datev nichts verdächtig findet, kann man bedenkenlos öffnen ?
... werde ich sicher nicht tun ...
diese Methode mit spam@datev.de kann nur eine schnelle, bequeme Lösung sein, um die offensichtlichen 'Kandidaten' herauszufischen.
Bei raffinierterer Malware versagen viele Scanner
diese Methode mit spam@datev.de kann nur eine schnelle, bequeme Lösung sein, um die offensichtlichen 'Kandidaten' herauszufischen.
Bei raffinierterer Malware versagen viele Scanner
Na, wenn Sie das sagen.......
und was sagt der DATEV-Test? Haben Sie schon eine Antwort?
edit:
und was sagt der DATEV-Test? Haben Sie schon eine Antwort?
.... nein ... eben nicht ...
Eine Art "Autoresponder" als Feedback wäre besser als Stillschweigen, wenn die E-Mail nicht als gefährlich erkannt wird.
edit:
z.B. in der Art: "Wir konnten keine gefährlichen Anhänge oder Links erkennen, allerdings könnte in der passwortgeschützten Datei trotzdem eine Malware enthalten sein."
Aus meiner Sicht ist diese Methode dann auch nicht besser als ein x-beliebiger "Virenschutz" oder "Spamfilter" bei einem Internet-Provider.
VG
Michael Vogtsburger
Nachtrag:
ich nehme Einiges von dem vorher Geschriebenen zurück.
Es kam tatsächlich jetzt ein Feedback mit der folgenden Virenwarnung:
(der restliche Text ist uninteressant)
Anscheinend wurde nach Eingang doch noch eine weitere Prüfung angestoßen.
VG
Michael Vogtsburger
Aus meiner Sicht ist diese Methode dann auch nicht besser als ein x-beliebiger "Virenschutz" oder "Spamfilter" bei einem Internet-Provider.
Und, diese Aussage können Sie nun auch entkräften? Oder ist die noch haltbar?
Ich hatte ja nicht damit gerechnet, dass sich Herr Dr. Robert Mayr persönlich ca 4 Stunden lang um die Prüfung dieser einzelnen suspekten E-Mail kümmert.
Spaß beiseite, Datev hat hier tatsächlich ein großes Lob verdient.
Als Anwender ist man natürlich sehr dankbar für eine solche klare Aussage.
Rein technisch würde mich interessieren, ob ein automatischer Prozess dahinter steht.
Extrahiert und öffnet man automatisiert die Anlagen, knackt man evtl. sogar die Passwörter mit Brute Force oder erledigen Menschen einen Teil der Arbeit ?
Jedenfalls war der konkrete Härtetest erfolgreich.
Ich bin hier sehr zufrieden mit dem Ergebnis.
VG
Michael Vogtsburger
Hallo Herr Hofmeister, hallo Mitleser/-schreiber,
anbei eine Kurzbeschreibung der Schutzmechanismen von DATEVnet und deren Nutzen im vorliegenden Fall:
DATEVnet setzt zur Erkennung von Schadsoftware mehrere Virenscanner unterschiedlicher Hersteller, sowie einen eigenen Virenscanner ein. Hierdurch wird einen überdurchschnittliche Erkennungsquote von 99,9993% erreicht. Zusätzlich werden durch den DATEVnet Reverse-Scan Mails 24 Stunden rückwirkend weiterhin auf Schadsoftware gescannt. Somit können Viren erkannt werden, die zum Zeitpunkt der Zustellung noch nicht durch die Scanner erkannt wurden. Der Kunde wird hierüber umgehend informiert.
Mails mit ZIP-Dateien im Anhang werden entpackt und ebenfalls auf Schadsoftware untersucht. Wenn diese Dateien passwortgeschützt sind, kann der Inhalt der Dateien nicht automatisiert geprüft werden. Diese Dateien können nur durch Ihre Dateieigenschaften erkannt und geblockt werden. Passwortgeschützte Dateien sollten deshalb nur nach Rücksprache mit dem Absender geöffnet werden. Dies gilt insbesondere dann, wenn das Passwort bereits in der E-Mail enthalten ist. Da hier ein Passwortschutz meist nur dem Zweck der Verschleierung von Schadcode dient.
Wenn Sie nicht sicher sind, ob es sich um eine vertrauenswürdige Mail handelt können DATEV-Kunden diese zur Prüfung an spam@datev.de senden. Die Mail wird dort zunächst automatisiert auf Schadsoftware geprüft. Wird die Mail hierbei eindeutig als virulent erkannt, wird die Annahme der Mail sofort abgelehnt und Sie erhalten umgehend eine entsprechende Information. Ist die automatisierte Bewertung der Mail nicht eindeutig, wird diese manuell von einem DATEV-Mitarbeiter überprüft und Sie erhalten eine Rückmeldung über das Prüfergebnis. Sollte hierbei noch unbekannter Schadcode entdeckt werden, passen wir umgehend die Signaturen unserer Virenscanner an und senden diese ebenfalls an die Hersteller der von uns eingesetzten Virenscanner.
Hierdurch kann Schadsoftware sowohl bei allen künftigen Mails, als auch beim DATEV-Reverse-Scan erkannt werden.
Grüße aus Nürnberg und ein schönes Wochenende
DATEV eG
Alexander Volk
Abt. Datensicherheit
Vielen Dank alexandervolk, für die Aufklärung
.... noch kurz (interessehalber) :
Aus meiner Erfahrung ist es erstmal ungefährlich, eine Zip-Datei zu entpacken.
Meiner Meinung nach kann nämlich kein Prozess durch das bloße Entpacken automatisch starten und keine Datei automatisch ausgeführt werden, oder liege ich da etwa falsch ?
Anschließend hat man ja dann wesentlich bessere Möglichkeiten, die Datei(en) auf Malware zu scannen.
VG
Michael Vogtburger
Sehr geehrter Herr Volk,
vielen Dank für Ihre Antwort.
Kann also dann davon ausgegangen werden, dass DATEVnet nicht nur Schadsoftware in "klassisch" viruspotentiellen Dateitypen (exe, bat, usw. --> vgl. Liste in der Leistungsbeschreibung) findet, sondern darüber hinaus auch solche, die sich in word-, excel-, pdf-, jpg- usw. Dateien verstecken? Denn darüber schweigt sich die Leistungsbeschreibung leider aus.
Mit freundlichen Grüßen,
F. Berger