... eine seltsamer Effekt:
der "Windows Defender" erkennt auf einem Windows 10-Rechner eine "schwerwiegende Bedrohung" in einer Excel-Datei (E-Mail-Anlage, Extension "xlsx", siehe Screenshot))
... war eigentlich der Meinung, dass XLSX-Dateien keine Makros enthalten können.
Gibt es evtl. doch irgendwelche Tricks, Trojaner in 'normalen Excel-dateien zu verstecken ?
Die Datei hat tatsächlich einen 'normalen' Inhalt, eine Tabelle zur Erfassung von Artikelstammdaten (habe auf einem separaten iPad in die Anlage geguckt)
@vogtsburger schrieb:
... war eigentlich der Meinung, dass XLSX-Dateien keine Makros enthalten können.
Gibt es evtl. doch irgendwelche Tricks, Trojaner in 'normalen Excel-dateien zu verstecken ?
Nun ja, "Papier ist geduldig" sagte meine Oma schon immer...
Ist ja kein Problem, eine XLM/XLSM einfach als XLS/XLSX abzuspeichern bzw. umzubennen.
Könnte natürlich auch ein „False Positive“ sein, bei dem der Scanner auf eine bestimmte Codesignatur anspringt, die üblicherweise auch in dem erkannten Virus verwendet wird.
Makros oder VBA können doch auch in XLSX-Dateien enthalten sein. XLSX heißt ja nur, daß es das neue Format ist, daß von MS in 06 oder 07 eingeführt wurde. Die Extension sagt also nicht über evtl. riskanten Inhalt aus.
Vielleicht testweise die Datei nochmal durch ein paar Onlinescanner vie ESET jagen, und schauen, was die dazu sagen. Oder die Datei mal in einer Sandbox öffnen, falls sie beim Absender doch unbemerkt infiziert wurde.
... ja, könnte auch eine getarnte (umbenannte) XLSM-Datei sein
der Windows Defender schlägt nach Umbenennung erst Alarm, wenn man die Datei ausdrücklich auf Viren prüft
... interessiert mich, was da los ist.
... ich wüsste jetzt nicht, woran man XLSM-Dateien erkennt, ohne sie zu öffnen
VIRUSTOTAL findet nichts
... muss mal was Anderes probieren
Das ist echt schräg, wenn selbst VirusTotal nichts findet...
Aber jetzt haben wir den Beweis! Windows Defender ist der schärfste Spürhund!!!
...wobei die Gefahreinstufung beim Defender ja wirklich grob ist, der erkennt ja sogar die EICAR-Testdatei als schwere Gefahr. Ich würde also wirklich einen Fehlalarm vermuten.
... ja, kann sein. Mir ist ein Falsch Positiver Befund lieber als ein echt Positiver 😉
Der EICAR hat schon im letzten Jahrtausend sein Unwesen getrieben 😄
@andrereissig schrieb:
... Makros oder VBA können doch auch in XLSX-Dateien enthalten sein...
ich würde zwar nicht darauf schwören, aber ich glaube nicht, dass eine 'echte' XLSX-Datei Makros oder VBA enthalten kann, dafür ist der Dateityp "XLSM" gedacht.
... aber eine XLSM-Datei kann natürlich nachträglich in einen beliebigen anderen Dateinamen umbenannt werden, also auch in *.XLSX
.. ich meine aber, dass auch Outlook nochmal davor warnt, eine Makrodatei zu öffnen.
Wenn die E-Mail-Anlage aber lokal gespeichert und dann ausgeführt wird, ....
Wenn der "Windows Defender" warnt, ist auf jeden Fall mal Vorsicht geboten.
... habe jedenfalls nicht vor, diese Datei 'auf Risiko' mit Excel zu öffnen
... werde den Absender wahrscheinlich auffordern, die Datei in einem anderen Format zu senden, z.B. als CSV oder als PDF.
... suche eigentlich schon länger nach einer Möglichkeit, VBA-Code oder Makros in Excel-Dateien erkennen und lesen zu können, ohne die Datei mit Excel öffnen zu müssen
(vielleicht funktioniert das mit LibreOffice)
@vogtsburger schrieb:Wenn der "Windows Defender" warnt, ist auf jeden Fall mal Vorsicht geboten.
... habe jedenfalls nicht vor, diese Datei 'auf Risiko' mit Excel zu öffnen
Absolut! Immer auf Nummer sicher gehen! Wenn selbst das blinde Huhn schon das Korn findet...
@vogtsburger schrieb:ich würde zwar nicht darauf schwören, aber ich glaube nicht, dass eine 'echte' XLSX-Datei Makros oder VBA enthalten kann, dafür ist der Dateityp "XLSM" gedacht.
Im Zweifel habe ich eher Unrecht... das frage ich mich auch eher, als daß ich es behaupte. In diesem Punkt ist meine Aussage nicht durch Fachkenntnis getrübt! 😅
inzwischen bin ich mir auch zu 94,56 % sicher, dass diese Virenwarnung des "Windows Defenders" eine Falschmeldung ist/war.
Ich habe jetzt vorsichtshalber an einem emeritierten PC die XLSX-Datei mit LibreOffice geöffnet und als XLS-Datei (Format Excel 97-2003) gespeichert.
Seither meckert kein Virenscanner mehr, auch nicht der "Windows Defender".
Trotzdem würde mich interessieren, was genau für den "Windows Defender" nach einem bestimmten Trojaner 'gerochen' hat.