Ich verstehe deine Einwände. Was genau an Information wären hilfreich? Ich kann ja nicht sämtliche LogFiles hier hochladen :/

Zur doc-Datei (bitte nicht den Zeigefinger heben - ich weiß, dass alles mehr als eindeutig ist!):
Die wurde gestern von einer bekannten Addy per Mail erhalten. Es war eine request.zip und in der Mail bereits das Passwort für die kennwortgeschützte doc-Datei. Nach öffnen und Eingabe des Passworts war der Hinweis, dass das Dokument mit einer alten Version erstellt wurde und man Makros aktivieren soll. Das wurde von der Person auch getan �� Aufbau der Mail und Art der Datei ist identisch zum Ursnif-Trojaner.
Was dann alles im Hintergrund ablief ist nicht bekannt. Erst 3 Stunden später bekam ich die Info (viel zu spät). Und ich habe dann u.a. geschaut, ob auffällige Prozesse im Taskmanager laufen. Anschließend eben Defender (der war komischerweise nicht aktiv - nur Sophos war aktiv) laufen lassen und Malwarebytes. Diese haben nix entdeckt.

Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.

Zitat:

Zitat von schmik

Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.

Wenn eine Neuinstallation (mach das so schnell wie möglich und ändere alle Passwörter von einem anderen System aus) sowieso geplant ist, dann erübrigt sich eine Analyse mit unseren Tools.

Etwas in Erfahrung bringen kann man vielleicht, wenn man Experte im Bereich Malwareanalyse ist... und auch das ist limitiert. Als normaler Nutzer ist das reine Zeitverschwendung.

Zitat:

Zitat von schmik

Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.

Ich versteh doch immer noch nicht. Kein Tool hat irgendwas gefunden.
Du hast die DOC-Datei hier nicht hochgeladen und auch sonst keine Anhaltspunkte gebracht. Selbst wenn wir die DOC-Datei haben können wir wohl nur schwer bis garnicht irgendwelchen Code auseinderpflücken und analysieren was der macht. Das können nur Software-Ingeneure, die in AV-Labs zB bei Microsoft arbeiten. Was bitte sollen wir jetzt analysieren so komplett ohne Anhaltspunkte? Was genau soll das hier werden?

Hallo cosinus,

entschuldige, wenn ich keine zufrieden stellenden Infos biete. Ich bin neu hier und weiß nicht genau, was ich konkret zur Verfügung stellen soll.

Das gezippte doc-file kann ich doch hier nicht hochladen?!
Das die Makros enthält ist soweit klar. Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden. Jedoch auf einem offline-testrechner. Hier poppte gleich eine Meldung auf, dass das Skript die hta-Datei nicht finden kann (existiert hat diese jedenfalls...evtl. kam die Meldung, weil keine Internetverbindung existierte). Bei dem eigentlich betroffenen Rechner kam keine Meldung.

Die ganzen Sophos-Logs bin ich mal durchgegangen. Aber als Nicht-Experte aber eben auch schwer zu verstehen Nur soviel, dass Sophos sämtliche "normalen" Downloads entdeckt und gecheckt hat. Aber das versteht sich ja von selbst.

Zitat:

Zitat von schmik

Das gezippte doc-file kann ich doch hier nicht hochladen?!

Doch, kannst du... unter "Zusätzliche Einstellungen" > "Anhänge verwalten" wenn du einen neuen Beitrag schreibst... einfach ein wenig nach unten scrollen.

Zitat:

Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden.

Das klingt ein wenig wie die neue Malware, die ich kürzlich entdeckt habe cosinus.



Sollen wir denn den eigentlich betroffenen Rechner auf Malware hin überprüfen, d. h. mal einen Blick auf das System werfen?

Ich würde sehr gern wissen wollen, was evtl. abgelaufen sein könnte. Auch insbesondere in Hinblick auf Sophos. Ich bin relativ ernüchtert darüber, dass auf dem Offline-Rechner der Defender sofort abgesprungen ist und das File in Quarantäne schickte.

Auf dem betroffenen Rechner hingegen kam (jedenfalls) für den Benutzer keine Reaktion seitens Sophos. Der Defender war deaktiviert. Warum, das kann ich nicht sagen. Vllt. weil ein externes Virenprogramm aktiv ist. Oder der Nutzer hat ihn bewusst deaktiviert.

Was steckt eigentlich hinter so einem hta-file direkt? Ist das eine neue Methodik?
Bisher kannte ich nur die Variante, dass die Malware als "Nicht-exe" heruntergeladen wird, sich in exe umbenennt und dann die Arbeit beginnt...somit auch bei den Prozessen auffällt.
Scheint hier aber was anderes zu sein.

Gern können wir den Rechner/das System analysieren
Ich kann die Logfiles von Sophos auch gern hier raufladen.

Das doc möchte ich ungern verbreiten. Aber die Codezeilen der Makros als Text wäre denkbar.


Wie machen wir weiter? Ich bin sehr lernwillig.