Zitat:

Zitat von Fragerin

Vielleicht wurde es ja durch ein Programm (auch Malware?) verstellt und nicht durch den User?

Sagen wir es mal so: Einen Blankoscheck stelle ich weder für mein Konto aus, noch für mein Computersystem. Dies bedeutet, dass es eine pauschale Akzeptanz aller Makros ohne Nachfrage NIE geben würde. Das fallweise Bestätigen ist eine grundsätzlich gute Lösung. Bei Internet-Dateien wurde auch immer "Bearbeitung aktivieren" gefragt.

Diese Datei aber kam (bestellt, als Reaktion auf Stellenausschreibung, dazu personalisiert mit Namen und Firmennamen + schlüssigem PDF-Lebenslauf) als E-Mail. JEDE Personalabteilung öffnet Bewerberunterlagen von unbekannten, weil diese bestellt wurden - und es wurde überhaupt keine "Zulassen"-Frage durch Excel gestellt.

Reaktion kann nur sein:
1.) Restriktiver mit Anhängen werden (alles, was nicht PDF ist zurückgehen lassen)
2.) Falls irgendwann auch PDF betroffen ist hoffen, alle Dateien vorher in einem Verzeichnis speichern und separat vom Virenscanner prüfen lassen. ABER: In diesem Fall lief die Mail ja beim Eingang auch schon durch den Scanner, der Goldeneye aber nicht erkannt hat (Avira, Updates immer regelmäßig). Bzw.: Sofern Avira auch eingehende Mails scannt. Wäre aber eigentlich fahrlässig, wenn nicht.

Aber egal wie man es dreht und wendet: Die Kritik an Microsoft bezüglich der Zulassung von Makros ist berechtigt. Eine grundsätzliche Messagebox "Ein Code soll ausgeführt. Möchten Sie zustimmen?" ist sicher möglich, besonders wenn man es mit einem Haken "für diese Arbeitsmappe immer zustimmen" verallgemeinern könnte (Arbeitsmappenbezogen, und NICHT als globale Regel).

Die Office-Produkte sind an vielen Stellen wenig konsistent. Leider.

Zitat:

Zitat von Fragerin

Die verschlüsselten Dateien sind nicht infiziert, sie tragen nicht den Schadcode weiter (jedenfalls weiß ich von keinem solchem Fall und es wäre ja auch nur bei Office-Dateien überhaupt vorstellbar). Ich würde diese auch nicht löschen, sondern aufbewahren, für den Fall, dass es noch mal in ein paar Jahren eine Entschlüsselung dafür gibt.

Ich habe den Avira-Scanner aktualisiert und ein vom Trojaner modifiziertes File gescannt. Ergebnis: "Kein Virus gefunden". Muss ich das als schwache Leistung werten?

Unabhängig davon bin ich noch nicht sicher, ob man durch Aufruf einer betroffenen verschlüsselten Datei den Virus weiterträgt. Aktuell scheint es so, als sei das nicht der Fall, was dafür spricht, dass er sich über das OS weiterverbreitet.

Ansonsten tendiere ich auch zum Aufbewahren, daher habe ich auch gleich eine neue Festplatte besorgt, hoffen wir aber, dass es eine Frage von Wochen und nicht Jahren ist.


Weitere Beobachtung zum Infektions-, bzw. Ausbreitungsvorgang:
------------------------------
Es scheint, als würde dieser aktuelle Goldeneye-Trojaner insbesondere auf Office-Dateien gehen, anschließend auf PDF.
Allerdings ist mir aufgefallen, dass auch weniger massentaugliche Formate attackiert werden, wenn auch scheinbar unsichtbar. Die in den betroffenen Ordnern liegenden .PSD und .AI und weitere andere Formate haben zwar nicht diese kryptische Endung in den Dateinamen bekommen, wurden aber mit ähnlichem Timestamp modifiziert. Liessen sich auch nicht mehr öffnen, da corrupted.

Zitat:

Zitat von Fragerin

Inwieweit das Betriebssystem nachher noch infiziert ist, ist wohl auch unterschiedlich. Bei vielen Verschlüsselungstrojanern werden die aktiven Dateien alle gelöscht, wenn er "fertig" ist, damit man nicht mit deren Hilfe den Algorithmus herausfinden kann.

Mein Betriebssystem ist noch "offen", das heisst, dass die Festplatte noch nicht gesperrt ist. Ich komme an alles dran, nur nicht an die Dateien, die verschlüsselt sind (bzw. komme dran, aber kann sie nicht verwenden).

Zitat:

Zitat von TobiasChiCo

Dies bedeutet, dass es eine pauschale Akzeptanz aller Makros ohne Nachfrage NIE geben würde.

Aber du hast dennoch behauptet, dass das Makro OHNE Nachfrage einfach so ausgeführt wurde. Das kann einfach nicht sein, wenn die Standardeinstellung nicht verstellt wurde.

Vllt checkst du einfach mal deine Makroeinstellung in Excel? So siehts in Excel 2010 Standardmäßig aus:

Zitat:

Zitat von TobiasChiCo

Muss ich das als schwache Leistung werten?

Nun überleg mal welchen Sinn es ergibt, verschlüsselte Dateien zu scannen. Richtig, gar keinen, weil man eh nicht an den echten Inhalt kommt. Sinnigerweise geben daher viele AVs ein "unscannable" als Rückmeldung zurück wenn sie eine verschlüsselte Datei als solche erkennen.
Außerdem liegt Ruth (Fragerin) mit ihrer Aussage schon richtig, deine persönlichen Daten auf dem Rechner wurden zwar verschlüsselt, aber da wurde kein Schadcode drangepappt.

Zitat:

Zitat von cosinus

Aber du hast dennoch behauptet, dass das Makro OHNE Nachfrage einfach so ausgeführt wurde. Das kann einfach nicht sein, wenn die Standardeinstellung nicht verstellt wurde.

Vllt checkst du einfach mal deine Makroeinstellung in Excel?

Danke für den Screenshot... ja, siehr (und sah) bei mir genauso aus.
Die dritte und vierte Option hätte ich NIEMALS aktiviert.

Da ich ja dank des Trojaners nun wieder ein frisches System habe konnte ich einfach mal einen weiteren Screenshot jungfräulich nach der Installation machen:



Interessant hier:
* es sind KEINE Kreuze gesetzt für "Makroaktivierte Arbeitsmappen".
* es ist insgesamt eher unübersichtlich
* es ist beschriftet mit "ab Format Excel 2007 und später".

Die verschickte Goldeneye-Datei in der von mir beschriebenen Mutation wurde als .xls ausgeliefert. Also möglicherweise in einer Vor-2007-Version, die das Excel entsprechend nicht mit Dialog ausbremst, vielleicht gilt die Makroeinstellung deines Screens ja auch nur ab Version 2007.

Wäre für mich jetzt eine mögliche Erklärung, die zu prüfen wäre.

Grüße
Tobias