Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?

Mitglied: feedge

feedge (Level 1) - Jetzt verbinden

23.08.2013, aktualisiert 11:32 Uhr, 2920 Aufrufe, 8 Kommentare, 3 Danke

Hallo,

wir haben ein Problem mit Trojanermeldungen bei uns im Netzwerk. Eingesetzter Virenscanner ist McAfee VirusScan Enterprise in Version 8.8 mit dem EPO.
Gemeldet wird ein PDF/Blacole

Das ganze zieht ziemliche Kreise, es sind PDF Dokumente befallen die per Exchange versand wurden, PDFs die im SVN liegen und auf etlichen Rechnern verteilt sind.

Nun die alles entscheidende Frage bevor wir unsere Gegen-Maßnahmen weiter fortsetzen. Wie wahrscheinlich ist es das dies ein False/ Positive ist?
Eine ältere Virendefinition (25. Juli 13) hat noch nicht ausgeschlagen, die aktuelle (Gestern und Heute) schlägt aus.
Auf Virustotal schlägt nur McAfee aus, alle anderen nicht. Meinen Support Account bei McAfee bekomme ich heute nichtmehr aktiviert, Ansprechpartner nicht erreichbar.

Was meinen die Erfahrenen Administrator.de Nutzer?

Danke!
Mitglied: DerWoWusste
23.08.2013 um 11:30 Uhr
Hi.

Mit hoher Sicherheit false-Positive. McAfee kennt ihn seit 2012, er sollte mindestens 3/4 der anderen somit bekannt sein und nicht 0/45.
Bitte warten ..
Mitglied: brammer
23.08.2013 um 11:32 Uhr
Hallo,

einen betroffenen Rechner vom Netz nehmen, mit einer Live CD booten und von dort scannen....
Wenn du dann einen Infekt findest, dann soltest du weitersuchen...

brammer
Bitte warten ..
Mitglied: 108012
23.08.2013, aktualisiert um 12:25 Uhr
Hallo,

- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.

Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!

Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut

- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!

- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.

- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.

Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!

Gruß
Dobby

P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!

Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA

P.P.S.

Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.


Hinweis (Disclaimer)
- Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Bitte warten ..
Mitglied: Lochkartenstanzer
23.08.2013 um 12:33 Uhr
Moin,

nachdem das "Uralt"-Malware ist, und alle anderen nichts finden, spricht alles erstmal dafür, daß es ein false-positive ist. Passiert manchmal, ist kein weltuntergang, vor allen kein grund in Panik zu verfallen.

Sollte auf jeden Fall zwar mit Mcafee abgeklärt werden.

Wichtiger ist aber, eure PDF-Reader zu checken, denn es ist wieder ein 0-day für Adobe Reader draußen.

lks
Bitte warten ..
Mitglied: Stonygan
23.08.2013 um 12:55 Uhr
Hi,

wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.

https://mysupport.mcafee.com/Eservice/Default.aspx

Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei uns ca. 1 Stunde gedauert.

Viel Glück.

Gruß Andreas
Bitte warten ..
Mitglied: Lochkartenstanzer
23.08.2013 um 13:05 Uhr
Nachtrag:

Der 0-day soll laut heise ein fake sein. rotzdem ist ein Augenerk auf die rReader nicht verkehrt.

lks
Bitte warten ..
Mitglied: feedge
26.08.2013 um 10:56 Uhr
Hallo,

erst einmal vielen Dank für die eure Antworten, echt super!
Ja mein nächster Schritt wird der Kontakt mit dem McAfee Support sein, aber eher nur zur abschließenden Klärung, denn mit den neuen Defeinitionsdateien schlägt auch der McAffe nicht mehr an.


Zitat von 108012:
Hallo,

- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.


Hallo, ich habe Erfahrungen mit diesen Dingen. Musste schon einmal einen ähnlichen Fall aufklären und habe mich damals auch Mirroringports, Wireshark und Snort bedient um zum Ziel zu kommen.
Allerdings muss man beim Wireshark auch wissen wonach man sucht, bei dem False-Posetiv PDF Trojaner nicht unbedingt die einfachste Übrung.
Neben den technischen Dingen, die dem Admin das leben schwer machen (NAT und PAT, xlate Tabellen loggen usw. ) - hast du Recht gibt es natürlich auch immer den rechtlichen Punkt,um sauber gegenüber BR und GL zu handeln.


Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar
erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!

Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut

TCPDUMP? noch nie angefasst, wie ist denn die Auswertbarkeit? Daten sammeln ist leicht, aber der Umgang mit den erfassten Daten und auch das heraus zu lesen ist die Kunst. Von Daher ist ein IDS alá Snort ganz gut und hilft beim Lesen. Ich kann dazu übrigens das OS Projekt https://snorby.org/ empfehlen.

- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!

- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.

- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.

Naja einen dauerhaften Einsatz von Snort und anderen Tools sieht die Leitung und der BR sehr kritisch gegenüber, deshalb sind diese Dinge nur bei konkreten Verdacht oder einem Vorfall mit Zustimmung einzusetzen. Bei Verstoß, kann man sich schon in die Nesseln setzen..
Aber für nächstes Jahr ist auch die Ergänzung mit NGFW vorgesehen. Pilotbetrieb läuft bereits.

Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!

False/ Positive hin oder her, Sicherheits-Vorfälle (angenommen es wäre wirklich ernst) dieser Art ziehen leider nicht nur Arbeit in technischer Form nach sich. Der Vertrauensbruch der MA zur IT (welche Sekretärin, Gruppenleiter, who ever, denkt bei PDF an eine Bedrohung?), der kritische Blick der GL auf die Arbeitsweise der IT - das sind in der Regel die schlimmeren Folgen für den Betrieb, wenn es nicht gerade eine ernstgemeinte Wirtschaftsspionage ist.

Gruß
Dobby

P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!

Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA

P.P.S.

> Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.


Hinweis (Disclaimer)
- Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Bitte warten ..
Mitglied: feedge
26.08.2013 um 10:59 Uhr
Zitat von Stonygan:
Hi,

wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür
eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens
Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.

https://mysupport.mcafee.com/Eservice/Default.aspx

Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei
uns ca. 1 Stunde gedauert.

Viel Glück.

Gruß Andreas

Danke für deine Antwort, das gibt mir Sicherheit.
Auch mit den aktuellen Definitionen erkennt McAfee nichts mehr.

Leider gibt es bei uns nur eine McAfee Grant# für >50 Standorte, und der (Unter)Accountverwalter ist wohl afk ;)
Bitte warten ..
Ähnliche Inhalte
Apple
Quicktime 7 und der Fehler 46
Frage von Cocktailz82Apple

Hallo zusammen, ich habe hier ein Problem und komme damit nicht weiter. Vielleicht weiß von euch ja jemand wie ...

Erkennung und -Abwehr

Ransomware-"Schutz" durch Virustotal?

Frage von majonaiseErkennung und -Abwehr1 Kommentar

Hallo zusammen, ich habe eine mE spannende Situation und konnte dazu noch nichts finden: Ich verantworte ein Netz in ...

iOS

IP Netzwerk scanner APP

Frage von schnullerkingiOS4 Kommentare

Hallo Zusammen Ich suche eine neue Apple IOS App im Appstore um Netzwerke zu scannen. Bis jetzt hatte ich ...

Monitoring

Netzwerk über einen gewissen Zeitraum scannen

gelöst Frage von devil7974Monitoring5 Kommentare

Hallo zusammen, ich suche ein Freewaretool mit dem ich über einen gewissen Zeitraum unser Netzwerk nach aktiven IP-Adressen scannen ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing17 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...