Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei
 

Hallo alle zusammen,

ich weiß nicht, ob das hier die richtige Stelle ist :-)
Mich interessiert einfach, ob euch diese Welle auch schon aufgefallen ist und wie ihr damit umgeht?

Bei uns erhalten in der letzten Zeit unterschiedliche Mitarbeiter (Öffentlicher Dienst) E-Mails mit verseuchten ZIP-Dateien. Die ZIP-Dateien werden nur teilweise von Scannern erkannt, wenn überhaupt dann von den Heuristik-Modulen.
Versendet werden diese E-Mails von dem Empfänger bekannten E-Mail-Adressen (daher wird wahrscheinlich das Adressbuch/vergangene E-Mails durchkämmt). Nach meinen momentanen Erkenntnissen scheinen die Absender-Adressen nicht gefälscht sondern direkt gekapert zu sein, da es keine Aliase gibt und manchmal sogar die Standard-Absender-Signatur des Absenders darunter ist. Manchmal fehlt sie (wahrscheinlich keine eingerichtet). Signatur und Inhalt sind in unterschiedlichen Schriftarten geschrieben.

Ich habe mal die Datei mit dem Namen my_info.zip untersucht: Wenn ich die ZIP-Datei auf einen PC kopiere, dann wird seltsamerweise eine MRT.exe aus der Mail mitkopiert (scheint mit dem ZIP-Archiv irgendwie verknüpft zu sein, war allerdings vorher nicht zu sehen). In der Zip-Datei ist eine exe-Datei mit einem zufälligen Namen. Die Exe-Datei sieht aus wie eine PDF-Datei.
Der Name der angehängten ZIP-Datei, der Betreff und Inhalt ändert sich scheinbar jeden Tag.
Am 22. April war es "My info" (Betreff), "Check my info" + evtl. Signatur (Inhalt) und my_info.zip (Anhang). Diese Datei wurde am selben Tag laut virustotal nur von 2 aus 57 Viren-Scannener erkannt, am nächsten Tag schon von 30 aus 57 Viren-Scannern. Mit den anderen Zip-Dateien verhält es sich ähnlich.
Am 23. April war es "Olivia docs" (Betreff), "Hi, look what I threw in an attachment." + evtl. Signatur (Inhalt) und reload.zip (Anhang).
//edit: Am 24. April war es "invoice" (Betreff), "Check the invoice attached." + evtl. Signatur (Inhalt) und invoice.zip (Anhang).
Am 27. April war es "Report" (Betreff), "Read the document attached." + evtl. Signatur (Inhalt) und report.zip (Anhang).
Leider habe ich nicht jede Variante mitbekommen.

Da sich die Signatur der Schadsoftware jeden Tag ändert frage ich mich, wie ich die aussortieren soll. Ich bekomme ja auch nicht jede E-Mail mit.

Ist euch diese Welle bekannt? Wie geht ihr damit um? Passt das Thema besser in den Diskussions-Bereich? Ich vermute mal, dass solche Wellen viele betreffen, natürlich abhängig vom Umfeld, und daher auch für die Suchmaschinen hilfreich ist.
Ich gehe davon aus, dass das jeweils die gleiche Schadsoftware ist, da das Muster immer gleich zu sein scheint.

LG

ich schiebe es mal in den diskussionsbereich :)

Hi,

Spam mit virulenten Archiven sind ja nun nicht wirklich so neu. Ist eher ein alter Hut.

So ab 2013 rum wurde mir das aber zuviel und ich lass alle Mails mit Archiven (ZIP, CAB und wie die ganzen Archivformate heißen) grundsätzlich sperren, die paar legitimen Mails die da bei sind werden manuell aus der Quarantäne rausgeholt und ensprechend weitergeleitet bzw bei bekannten/vertrauenswürdigen Absendern wird die Absendeadresse oder -domain auf die Positivliste gesetzt, damit die von der Prüfung ausgeschlossen sind.

Die Erkennung der Malware darin war einfach noch nicht ausreichend gut genug und es kamen einfach zu schnell neue/unbekannte Archive rein, die selbst der alle 15 Minuten aktualisierte Mailvirenscanner auf dem zentralen Gateway nicht erkennen konnte...

Danke! Das ist auch eine Idee... Allerdings betrifft das so viele ZIP-Dateien, dass eine automatische Quarantäne wohl zu viel Zeit benötigen würde.

Hat sich bei der Erkennungsrate inzwischen etwas verbessert? Sind da bestimmte Tools besonders gut?
Die meisten konnte unser lokaler Virenschutz von der Ausführung abhalten.

Ich denke das Spamaufkommen wird dann steigen wenn es ernsthafte Sicherheitslücken gibt. Du könntest ja mal ein paar ZIP-Dateien bzw. die entspackten EXE-Dateien zu Virustotal hochladen. Poste entsprechende Links.

Was soll denn daran lange dauern...:wtf:...Mails mit einem Archiv als Anhang werden grundsätzlich nicht durchgelassen. Und der Empfänger bekommt eine "E-Mail wurde blockiert" Nachricht.

Jepp:Boogie:
Ich arbeite hier mit IMAP. Da wird der Müll gar nicht erst heruntergeladen, sondern wird mir nur angezeigt, dass er da ist. Müll wird gleich, ohne heruntergeladen zu werden, beim ISP gelöscht. Inwieweit das der jeweilige ISP unterstützt, muss man nachlesen. Das ist die private Seite.
Dienstlich habe ich auch manchmal solche Probleme. Manchmal schwuppt auch mal so eine Mail durch und landet beim User. Die AV-Software zieht aber dann schnell nach, sodass die Einschlagsquote doch moderat ist und die Mitarbeiter instruiert sind.

Es ist doch völlig egal ob runtergeladen oder nicht, über welches Protokoll der Mist reinkommt. Ob IMAP oder POP3 spielt ja nun mal garkeine Rolle. IMAP schützt da rein garnix wenn nix erkannt wird.

Aber vllt reden wir auch einander vorbei, ich meinte mit Mails mit Archiven sperren, dass die ein Endanwender garnicht zu sehen bekommt. Außer einer freundlichen "E-Mail was blocked" E-Mail. Und mehr nicht. Naja, dass man sich an den freundlichen Admin wenden soll wenn da doch was Legitimes geblockt wurde ;)

@Cosinus: Bei unseren über 700 Mitarbeitern werden schon sehr viele legale Zip-Archive täglich verschickt ;) //edit: Das mit der Hinweis-E-Mail, dass man sich an den Admin wenden soll, ist auf jeden Fall gut. Ich frage mich nur, ob wir das bei so vielen Zip-Archiven neben unserer sonstigen Arbeit schaffen :)

@iceweasel: Die erste mir aufgefallene ZIP-Datei:
Direkt am entsprechenden Tag: https://www.virustotal.com/de/file/356344313fb11b5b2f4c67c698f1492c5f2492f8db1f321a968d5d18996f01ea/analysis/1429712271/
Ein Tag später: https://www.virustotal.com/de/file/acd511ceaf3fea45a0d9d218c28a4a19f8626b93ba49aee181efa0a3894fb538/analysis/1429781179/

Auha :eek: ich frag mich grad echt wie der Eindruck entstanden ist, dass die Admins das manuell machen müssen :balla:
Natürlich erledigt das eine Software, in unserem Fall Firewall/Gateway, das. Und wenn ihr 700 Mitarbeiter seid, dann habt ihr garantiert keine popelige Firewall oder etwa doch? :dummguck:

Klaro haben wir eine entsprechend leistungsfähige Firewall :D
Was ich meinte: Müssen die Mitarbeiter die Admins anschreiben und fragen, ob die Admins die E-Mail aus der Quarantäne holen oder können die Mitarbeiter das irgendwie sogar selbst?

Achso das. Naja, wenn die User selbst jeden Blödsinn rausholen können ist die ganze Aktion ja fürn Hintern. :lach:

Da sollten die Admins dann schon tätig werden. Und wie gesagt, einzelne Absender oder gar Absendedomains, die besondern gerne und viele legitime Archive in Anhängen versenden, kann man ja als Ausnahme betrachten, damit diese Mails nicht im Filter der zentralen Firewall hängenbleiben...

Wir reden aneinander vorbei:party:
Meine Antwort war ja zweigeteilt: privat und dienstlich.
Das mit POP3 und IMAP bezog sich auf den privaten Bereich. Und hier macht es schon einen Unterschied, ob ich Mails per POP3 sofort beim Aufruf meines Mail-Programmes herunterlade oder sie per IMAP nur angezeigt bekomme. Bei IMAP kann ich Müll schon beim ISP löschen. Bestimmte Sachen landen bei meinem ISP eh schon im Spam-Ordner. Wenn ich mir das trotzdem herunterlade und auch noch öffne, habe ich die Strafe verdient. Auch Mails von unbekannten Absendern:glaskugel:
Brain 2.0 sollte immer eingeschaltet sein.

Hier ist ja die große Schwierigkeit, dass die Archive von bekannten Absendern kommen, die häufig legale Archive schicken und mit denen häufig ein E-Mail-Kontakt besteht. :(

Die Schadsoftware macht wohl einen Scan der vergangenen E-Mail-Kommunikation und versendet entsprechend Mails. Gibt es hierfür einen Fachbegriff?

"Wellenbrief" vielleicht? Oder "stille Post?"