|
Überwachung, Datenschutz und Spam: Goldeneye Trojaner gefährliche Mutation - ErfahrungenWindows 7 Fragen zu Verschlüsselung, Spam, Datenschutz & co. sind hier erwünscht. Hier geht es um Abwehr von Keyloggern oder aderen Spionagesoftware wie Spyware und Adware. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
07.12.2016, 13:28 | #1 |
| Goldeneye Trojaner gefährliche Mutation - Erfahrungen Hallo zusammen, über den Goldeneye Trojaner wurde bereits viel berichtet. Heise Security hat darüber geschrieben, auch hier gab es einiges. Die ursprüngliche Beschreibung lautete: * Excel-Datei wird um "Bearbeitung aktivieren" bitten. Es scheint eine Mutation zu geben, bei der das nicht der Fall ist. An sich bin ich nicht naiv, was Trojaner angeht, aber folgendes war passiert: 1.) Wir hatten eine Stellenausschreibung für Softwareentwickler. 2.) Es kamen einige Bewerbungen, eine davon mit einem individualisierten (!) Anschreiben in der Mail selber, plus einem ordentlichen PDF samt Handynummer und Foto. In dem PDF ist die Firma erneut personalisiert und es wirkt alles eigentlich ok. -- also denkt man: Entwickler sind ja manchmal etwas eigen, öffne ich das Excel, werde aber keine Makros oder Bearbeitung aktivieren, falls der Inhalt verdächtig ist. ==> PROBLEM: Keine Aufforderung, das Ding führt SOFORT Makros aus und infiziert das ganze System. Doppelklick und man ist chancenlos. Alle Dateien werden verschlüsselt. Übrigens scheint die Reihenfolge der Verschlüsselung nach Dateityp zu laufen, erst Office Dokumente, dann PDF, dann andere. IMPLIKATION: ------------------------ Überhaupt keine externen Office-Dokumente mehr öffnen, allgemein nur PDFs öffnen und hoffen, dass der nächste Trojaner nicht diese betrifft. Ich hab jetzt eine neue Festplatte besorgt und mache gerade eine frische Windows-Installation (geringer Verlust, da ab und zu Backup, aber eben doch ein bisschen Verlust... verkraftbar). FRAGEN: ------------------------- Weiss jemand, ob der Trojaner über das Windows selber gesteuert wird oder sich über die infizierten Dateien weiterverbreitet? Würde heissen: Falls über OS könnte man ja die infizierte Festplatte als externe Platte anschließen und selektiv die noch nicht infizierten Dateien herunterziehen. * Habt ihr weitere Erfahrungen? Danke Euch, Tobias |
07.12.2016, 15:30 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Goldeneye Trojaner gefährliche Mutation - Erfahrungen Ja ich hab auch so eine Mail gesehen. Haben die Betrüger sich schon Mühe gegeben.
__________________Die sah ziemlich echt aus, und v.a. wurde auch die Person aus der Personalabteilung mit richtigem Namen angesprochen - die Stelle auf die sich beworben wurde, passte auch zur Stellenanzeige. Aber komisch war, dass es zwei Anhänge gab, eine PDF und eine XLS. In der PDF wurde man darüber informiert, dass alle Infos in der Exceltabelle stünden. Leider gibt es ein es ein paar spezielle Deppen, die wirklich solche Bewerbungen schicken. Also wundern würde mich das nicht. Auch wenn in der Stellenanzeige steht, dass NUR PDF benutzt werden soll, wird oft ignoriert. Zitat:
Default lautet: "Alle Makros mit Benachrichtigung deaktivieren." Das wurde verstellt, ob nun absichtlich oder nicht weiß ich nicht. Zitat:
Es gibt auch keine "infizierte Festplatte". Wohl aber kann auf der Festplatte eine Partition oder Volume eingerichtet sein, welches ein Dateisystem mit malwarefiles enthält. Aber nicht die Festplatte an sich. Und es gibt auch keinen Grund die Platte auszubauen.
__________________ |
07.12.2016, 16:47 | #3 | |
Gesperrt | Goldeneye Trojaner gefährliche Mutation - ErfahrungenZitat:
|
08.12.2016, 08:26 | #4 | ||
| Goldeneye Trojaner gefährliche Mutation - ErfahrungenZitat:
Die Datei kam als .xls daher, nicht als .xlsm Zitat:
Als ich ausgeschaltet habe war er noch nicht komplett durch mit der Verschlüsselung, was bedeutet, dass noch zahlreiche unverschlüsselte Dateien auf der Festplatte sind. Klar, eine Formatierung überlebt auch Goldeneye nicht, leider aber die noch unverschlüsselten Dateien auch nicht. Die Frage bezog sich daher darauf, ob bei einem anklemmen der alten Festplatte (die ich noch nicht löschen will) an das neue System, dieses neue System mit infiziert wird, oder ob das nur bei Ausführung/Öffnen von infizierten Dateien passiert. Die Denklogik lautet so: Wenn es betriebssystemgesteuert ist, dann dürfte eigentlich nichts passieren mit einem frischen Windows, wenn es filegetriggert ist, dann sollte man die Files nicht anklicken und die nicht-infizierten darum herum herausfischen. Leider kenne ich aber das Verhalten des Trojaners nicht und weiss nicht, was passiert. Werde es auf einem anderen Altsystem mal testen... Grüße Tobias |
08.12.2016, 12:19 | #5 | |
Gesperrt | Goldeneye Trojaner gefährliche Mutation - ErfahrungenZitat:
|
08.12.2016, 13:07 | #6 |
/// TB-Senior | Goldeneye Trojaner gefährliche Mutation - Erfahrungen Die verschlüsselten Dateien sind nicht infiziert, sie tragen nicht den Schadcode weiter (jedenfalls weiß ich von keinem solchem Fall und es wäre ja auch nur bei Office-Dateien überhaupt vorstellbar). Ich würde diese auch nicht löschen, sondern aufbewahren, für den Fall, dass es noch mal in ein paar Jahren eine Entschlüsselung dafür gibt. Inwieweit das Betriebssystem nachher noch infiziert ist, ist wohl auch unterschiedlich. Bei vielen Verschlüsselungstrojanern werden die aktiven Dateien alle gelöscht, wenn er "fertig" ist, damit man nicht mit deren Hilfe den Algorithmus herausfinden kann.
__________________ --> Goldeneye Trojaner gefährliche Mutation - Erfahrungen |
08.12.2016, 16:24 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Goldeneye Trojaner gefährliche Mutation - Erfahrungen Und genau das kann nicht sein. Denn die default Einstellung lautet wie ich sagte: Alle Makros mit Benachrichtigung deaktivieren. Das kannst du auch schlecht widerlegen, ich hab eben selbst noch ne Installation von einem Office 2010 Standrad gemacht und die Einstellung war auch so.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2016, 08:02 | #8 |
/// TB-Senior | Goldeneye Trojaner gefährliche Mutation - Erfahrungen Vielleicht wurde es ja durch ein Programm (auch Malware?) verstellt und nicht durch den User?
__________________ Zum Schutz vor Trojanerinnen und Femaleware ist bei einem aktuellen Windows 10 die Windows-Defenderin ausreichend. |
09.12.2016, 09:18 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Goldeneye Trojaner gefährliche Mutation - Erfahrungen Ja das kann schon sein. Aber dann muss er ja vorher schon nen Mist ausgeführt haben. Ich hab wie gesagt extra nochmal auf nen frisch installierten MSO 2010 nachgeschaut. Da ist nix mit Makros aktiv, die muss man man wenn man so ein Mistdokument öffnet schon selbst mit einem Klick auf "Inhalt aktivieren" selbst aktivieren. Genau für diese Bezeichnung wurde Microsoft v.a. bei heise sehr stark kritisiert => https://www.heise.de/forum/heise-Sec...29602107/show/ Aber von allein werden keine Makros ausgeführt, da bedarf es entweder den Klick oder der Juhser muss was verstellt haben....
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2016, 10:30 | #10 | ||
| Goldeneye Trojaner gefährliche Mutation - ErfahrungenZitat:
Diese Datei aber kam (bestellt, als Reaktion auf Stellenausschreibung, dazu personalisiert mit Namen und Firmennamen + schlüssigem PDF-Lebenslauf) als E-Mail. JEDE Personalabteilung öffnet Bewerberunterlagen von unbekannten, weil diese bestellt wurden - und es wurde überhaupt keine "Zulassen"-Frage durch Excel gestellt. Reaktion kann nur sein: 1.) Restriktiver mit Anhängen werden (alles, was nicht PDF ist zurückgehen lassen) 2.) Falls irgendwann auch PDF betroffen ist hoffen, alle Dateien vorher in einem Verzeichnis speichern und separat vom Virenscanner prüfen lassen. ABER: In diesem Fall lief die Mail ja beim Eingang auch schon durch den Scanner, der Goldeneye aber nicht erkannt hat (Avira, Updates immer regelmäßig). Bzw.: Sofern Avira auch eingehende Mails scannt. Wäre aber eigentlich fahrlässig, wenn nicht. Aber egal wie man es dreht und wendet: Die Kritik an Microsoft bezüglich der Zulassung von Makros ist berechtigt. Eine grundsätzliche Messagebox "Ein Code soll ausgeführt. Möchten Sie zustimmen?" ist sicher möglich, besonders wenn man es mit einem Haken "für diese Arbeitsmappe immer zustimmen" verallgemeinern könnte (Arbeitsmappenbezogen, und NICHT als globale Regel). Die Office-Produkte sind an vielen Stellen wenig konsistent. Leider. Zitat:
Unabhängig davon bin ich noch nicht sicher, ob man durch Aufruf einer betroffenen verschlüsselten Datei den Virus weiterträgt. Aktuell scheint es so, als sei das nicht der Fall, was dafür spricht, dass er sich über das OS weiterverbreitet. Ansonsten tendiere ich auch zum Aufbewahren, daher habe ich auch gleich eine neue Festplatte besorgt, hoffen wir aber, dass es eine Frage von Wochen und nicht Jahren ist. Weitere Beobachtung zum Infektions-, bzw. Ausbreitungsvorgang: ------------------------------ Es scheint, als würde dieser aktuelle Goldeneye-Trojaner insbesondere auf Office-Dateien gehen, anschließend auf PDF. Allerdings ist mir aufgefallen, dass auch weniger massentaugliche Formate attackiert werden, wenn auch scheinbar unsichtbar. Die in den betroffenen Ordnern liegenden .PSD und .AI und weitere andere Formate haben zwar nicht diese kryptische Endung in den Dateinamen bekommen, wurden aber mit ähnlichem Timestamp modifiziert. Liessen sich auch nicht mehr öffnen, da corrupted. Mein Betriebssystem ist noch "offen", das heisst, dass die Festplatte noch nicht gesperrt ist. Ich komme an alles dran, nur nicht an die Dateien, die verschlüsselt sind (bzw. komme dran, aber kann sie nicht verwenden). |
09.12.2016, 10:50 | #11 | |
/// TB-Senior | Goldeneye Trojaner gefährliche Mutation - ErfahrungenZitat:
__________________ Zum Schutz vor Trojanerinnen und Femaleware ist bei einem aktuellen Windows 10 die Windows-Defenderin ausreichend. |
09.12.2016, 10:59 | #12 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Goldeneye Trojaner gefährliche Mutation - ErfahrungenZitat:
Vllt checkst du einfach mal deine Makroeinstellung in Excel? So siehts in Excel 2010 Standardmäßig aus: Nun überleg mal welchen Sinn es ergibt, verschlüsselte Dateien zu scannen. Richtig, gar keinen, weil man eh nicht an den echten Inhalt kommt. Sinnigerweise geben daher viele AVs ein "unscannable" als Rückmeldung zurück wenn sie eine verschlüsselte Datei als solche erkennen. Außerdem liegt Ruth (Fragerin) mit ihrer Aussage schon richtig, deine persönlichen Daten auf dem Rechner wurden zwar verschlüsselt, aber da wurde kein Schadcode drangepappt.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2016, 22:07 | #13 | |
| Goldeneye Trojaner gefährliche Mutation - ErfahrungenZitat:
Die dritte und vierte Option hätte ich NIEMALS aktiviert. Da ich ja dank des Trojaners nun wieder ein frisches System habe konnte ich einfach mal einen weiteren Screenshot jungfräulich nach der Installation machen: Interessant hier: * es sind KEINE Kreuze gesetzt für "Makroaktivierte Arbeitsmappen". * es ist insgesamt eher unübersichtlich * es ist beschriftet mit "ab Format Excel 2007 und später". Die verschickte Goldeneye-Datei in der von mir beschriebenen Mutation wurde als .xls ausgeliefert. Also möglicherweise in einer Vor-2007-Version, die das Excel entsprechend nicht mit Dialog ausbremst, vielleicht gilt die Makroeinstellung deines Screens ja auch nur ab Version 2007. Wäre für mich jetzt eine mögliche Erklärung, die zu prüfen wäre. Grüße Tobias |
10.12.2016, 12:48 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Goldeneye Trojaner gefährliche Mutation - Erfahrungen Ich denke da hat jmd auf "Inhalt aktivieren" geklickt und weiß es nicht mehr oder will es nicht wahrhaben ODER es wurde eine Sicherheitslücke ausgenutzt. Wäre möglich wenn man die Updates für MSO verschlampt.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.12.2016, 13:11 | #15 | |
| Goldeneye Trojaner gefährliche Mutation - ErfahrungenZitat:
2.) Es wurde eine Sicherheitslücke ausgenutzt: Klingt am wahrscheinlichsten. 3.) Updates wurden keine verschlampt, diese sind auf automatisch machen konfiguriert und das Gerät ist beinahe immer online. ANGEBOT: Wenn du es nicht glaubst, die Mail habe ich noch, schick mir eine PM mit deiner E-Mail und ich leite dir auf eigene Gefahr den Goldeneye als Anhang zur weiteren Forschung weiter. Der Anhang ist ein .xls (kein .xlsm) und daher möglicherweise eine Vor-2007-Version. Vielleicht probiere ich es selber auch nochmal mit einem separaten System aus. |
Themen zu Goldeneye Trojaner gefährliche Mutation - Erfahrungen |
aktivieren, allgemein, dateien, erfahrungen, erneut, festplatte, folge, gefährliche, gen, goldeneye, hallo zusammen, handy, infiziert, infizierte, mail, mutation, neue, office, pdf, platte, problem, ransom, schließen, security, trojaner, verschlüsselung, öffnen |