Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Info! Neues pishing-schadprogramm und PE-malware unter office wird von virenloesungen nicht erkannt!

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

24.04.2006, aktualisiert 08.01.2009, 6341 Aufrufe

neuer trojaner der das gesamte officepaket befallen kann wird von den meisten av-loesungen nicht erkannt

ein neues schadprogramm mit namen TROJAN.PPT.A wird von den meisten av-loesungen nicht erkannt. dieser trojaner nutzt eine sicherheitsluecke in dem office-paket aus, ueber die es moeglich ist einen remote-code ausfuehren zu lassen.
das betrifft ALLE office-versionen, auch die office x fuer mac-rechner...
davon ausgenommen sind lediglich;

-microsoft excel 2000 viewer
-microsoft excel 2002 viewer
-microsoft word 2003
-microsoft outlook 2003
-microsoft powerpoint 2003

die gewohnt spaerlichen infos von onkel bill kann man einsehen unter:
http://www.microsoft.com/technet/security/Bulletin/MS06-012.mspx

-dort finden sich auch die links zu den relevanten sicherheitsupdates, die man unbedingt und schnellstmoeglich einspielen sollte

A. folegende av-loesungen versagen bei der detection des schadprogramms:
ANTIVIR 6.34.0.24, AVAST 4.6.695.0, AVG 386, AVIRA 6.34.0.56, CAT-QUICK HEAL 8.00, CLAMAV devel-20060202, eTrust-InoculateIT 23.71.136, eTrust-Vet 12.4.2171, Ewido 3.5,
F-Prot 3.16c, IKARUS 0.2.59.0, Kaspersky 0.2.24, McAfee 4746, , Sophos4.04.0, Symantec 8.0, TheHacker 5.9.7.132, UNA 1.83, VBA32 3.10.5

B. folgende av-loesung hat das schadprogramm erkannt:
BitDefender 7.2 .........Trojan.PPT.A
DrWeb 4.33 ...............Backdoor Trojan

C. folgende av-loesungen registrieren einen verdaechtigen eintrag, koennen das schadprogramm aber nicht konkret bestimmen:
Panda 9.0.0.4 .........als verdaechtiger eintrag
NOD32v2 1.1501 ....unbekannteheuristische PE-malware
Fortinet2.71.0.0......verdaechtiger eintrag
Norman 5.90.16......W32/malware

wer die unter A. gennanten av-loesungen in seinem netzwerk einsetzt sollte es u.u. in betracht ziehen, ueber das einspielen der sicherheitsupdates hinaus, einmal nach den von mir weiter unten aufgefuehrten dateien zu suchen, in der anleitung zum manuellen entfernen des schadprogrammes und sie ggf. entfernen.

-manuelles entfernen des schadprogramms:
1.- anstaendige loeschsoftware wie z.b. eraser installieren
2.- systemwiederherstellung abschalten
3.- abgesicherter modus
4.- remote threads kontrollieren
5.-suchen nach dateien mit dem namen:
a. C:WINDOWS/SYSTEM32/wbemwmiadapt.exe.
b. C:WINDOWS/SYSTEM32/systhin.dll.
6.- suchen nach dateien mit folgender groesse: 144514 byte, u.U. gepackt, lassen sich mit ASPack entpacken; MD5 d8ec5f57861104fba4ee2e3f12cfa5a8 ;
sha1 94d2202fb50df5a8e00f5da50b8e0783ec144465

ausserdem...
7.- die dazugehoerigen registrierdatenbank eintraege suchen und notieren
8.- mit eraser loeschen
9.- reboot
10.- den bitdefender onlinescanner, unbequem und langsam aber gruendlich, bemuehen und noch mal durchkaemmen das system

*ich muss hoffentlich nicht erwaehnen, dass von den registrierdatenbank - eintraegen zur sicherheit sicherungskopien angefertigt werden, die NACH ERFOLGREICHER LOESCHUNG des schaedlings ebenfallls geloescht werden koennen; oder?!*

im zweifelsfalle mir im IT-forum, startseite, posten....

saludos
gnarff
Ähnliche Inhalte
Windows Server
Info: Wer hat Server neu gestartet?
gelöst Frage von mupan7Windows Server12 Kommentare

Windows (Server) loggt so genau jedes Ereignis. Wo steht, wer den letzten Reboot ausgelöst hat, also, welcher User / ...

Viren und Trojaner

Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von FrankViren und Trojaner

In der Ausgabe 03/2017 widmet sich das IT-Administrator Magazin dem Thema : Malware und Angriffe abwehren. So lest ihr ...

Hardware

Anschaffung neue Office-Rechner

gelöst Frage von QugartHardware13 Kommentare

Hallo zusammen! Ja, die ewige Frage "welchen PC soll ich mir kaufen" ist nervig. Trotzdem hätte ich da gern ...

Multimedia & Zubehör

Beamer wird alle 2 Sekunden neu erkannt

Frage von ludescherMultimedia & Zubehör5 Kommentare

Hallo, ich habe einen Epson EMP-83H über VGA an einen Laptop angeschlossen. Jetzt wird das Bild für 3 Sekunden ...

Neue Wissensbeiträge
CMS
Freie Wähler Bayern MySQL PW online
Information von sabines vor 2 StundenCMS2 Kommentare

Die Typo3 Installation der Freien Wähler Bayern scheint wohl längere Zeit nicht mehr angefasst und/oder fehlkonfiguriert zu sein. Nach ...

Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 23 StundenSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Router & Routing

Endlich: Reines Kabel-TV Modem in D erhältlich !

Information von aqui vor 3 TagenRouter & Routing13 Kommentare

Mit dem Technicolor TC4400-EU Modem sind nun auch Breitband Router ohne integriertes Modem oder Firewalls wie z.B. die pfSense ...

Netzwerkgrundlagen
The Illustrated TLS Connection
Information von Lochkartenstanzer vor 4 TagenNetzwerkgrundlagen1 Kommentar

Moin, Unter findet man eine gelungene Erläuterung von TLS. Fördert sehr das verständnis darüber, was da passiert. lks

Heiß diskutierte Inhalte
Windows Server
AD User wird immer wieder gesperrt
Frage von YellowcakeWindows Server21 Kommentare

Hey ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich ...

Windows Netzwerk
Gruppenrichtlinie für einen PC deaktivieren
gelöst Frage von Florian961988Windows Netzwerk14 Kommentare

Hallo, kleines Problem und immoment finde ich dazu keine Lösung oder mir fällt nicht ein, wie ich es suche ...

Internet
Ist diese URL denkbar (Syntax)?
Frage von departure69Internet14 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Debian
Linux debian 9 Installation
Frage von Green14Debian14 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...