13
Word - Verstecktes Bild???
Hallo liebe Kollegen
Ich habe folgendes Problem. Ich habe bei uns in der Firma ein Word Dokument zur Überprüfung erhalten. Ich habe das ganze Dokument gelöscht... der Inhalt ist leer... wenn ich das Word Dokument jedoch per Mail an einen Apple User sende und er dieses Dokument öffnet, erscheint oben links ein ---T-System--- Logo... T-System... What the hell??
Klar, ich kann den Inhalt herauskopieren und ein neues Dokument erstellt und das Problem ist gelöst... ABER es lässt mir keine Ruhe... Wie und wo kann sowas hinterlegt werden? Vorallem nur auf Apple Geräten wie iPhone und iPad... auf meinem Android gehts normal auf... Ich würde das Dokument gerne raufladen aber das geht glaub ich nicht... aber hätte jemand eine Idee wo sowas hinterlegt werden kann? Makros sind auch keine hinterlegt... Kopf und Fusszeile komplett gelöscht... der Inhalt ebenfalls komplett gelöscht...
Bitte um Hilfe!
Ich habe folgendes Problem. Ich habe bei uns in der Firma ein Word Dokument zur Überprüfung erhalten. Ich habe das ganze Dokument gelöscht... der Inhalt ist leer... wenn ich das Word Dokument jedoch per Mail an einen Apple User sende und er dieses Dokument öffnet, erscheint oben links ein ---T-System--- Logo... T-System... What the hell??
Klar, ich kann den Inhalt herauskopieren und ein neues Dokument erstellt und das Problem ist gelöst... ABER es lässt mir keine Ruhe... Wie und wo kann sowas hinterlegt werden? Vorallem nur auf Apple Geräten wie iPhone und iPad... auf meinem Android gehts normal auf... Ich würde das Dokument gerne raufladen aber das geht glaub ich nicht... aber hätte jemand eine Idee wo sowas hinterlegt werden kann? Makros sind auch keine hinterlegt... Kopf und Fusszeile komplett gelöscht... der Inhalt ebenfalls komplett gelöscht...
Bitte um Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274300
Url: https://administrator.de/contentid/274300
Printed on: April 25, 2024 at 04:04 o'clock
13 Comments
Latest comment
Mahlzeit!
Das wäre aber sicherlich hilfreich!
Entweder ein Screenshot oder den Bildschirm fotografieren und dieses Bild hochladen.
Evtl. das Dokument als Download bereit stellen und den Link posten.
Gruß
Eisbein
Ich würde das Dokument gerne raufladen aber das geht glaub ich nicht...
Das wäre aber sicherlich hilfreich!
Entweder ein Screenshot oder den Bildschirm fotografieren und dieses Bild hochladen.
Evtl. das Dokument als Download bereit stellen und den Link posten.
Gruß
Eisbein
Evtl. das Dokument als Download bereit stellen und den Link posten.
Das sich dann hier alle gleich den T-Systems Virus einfangen 
Ich würde das Dok mal unter anderem Namen abspeichern, dadurch sollten alle eventuell im Dokument gecachten Bilder gelöscht werden.
Zusätzlich kannst du, wenn es sich um ein Docx handelt, das Dokument mal in *.zip umbenennen und als Archiv öffnen und nachsehen ob dort ein T-Systems Bild enthalten ist.
Gruß jodel32
Hallo,
Version?
Hintergründe?
Gruß,
Peter
Version?
Dokument gelöscht... der Inhalt ist leer
Ein Dokument zu löschen ist was anderes als dessen Inhalt zu löschen....per Mail an einen Apple User sende und er dieses Dokument öffnet
Wo öffnet? Auf sein Mac, sein Windows PC, sein IOS Smartphone, iPAD? Und vor allem womit öffnet er/sie es? Office for Mac oder was? Sicher das dort keine vorlagen genutzt werden die dir nicht bekannt sind?erscheint oben links ein ---T-System--- Logo... T-System... What the hell??
Post von der Post Wie und wo kann sowas hinterlegt werden?
da kennt Word schon einige stellen, es fragt sich doch wie das Dokument konzipiert wurde und was erreicht werden sollte..... Ein Word Dokument kennt mehr als nur Text oder Bild oder MacrosVorallem nur auf Apple Geräten wie iPhone und iPad...
Native oder sind dort irgendwelche Apps damit befasst?Ich würde das Dokument gerne raufladen
Stell uns einen Link zur Verfügung, dann kann sich wer will mal dein Word Dokument anschauen.... wer dann ein Rosa T will kann es sich holen...eine Idee wo sowas hinterlegt werden kann?
Wasserzeichen?Hintergründe?
Gruß,
Peter
Hi,
Nur bei dem einen User oder bei allen?
Vllt eine vermurkste Standardvorlage?
mfg
Cthluhu
Nur bei dem einen User oder bei allen?
Vllt eine vermurkste Standardvorlage?
mfg
Cthluhu
Das sich dann hier alle gleich den T-Systems Virus einfangen
Somit ist ein möglicher Freitagsthread schon gestorben
Alle hätte es sicher nicht getroffen, einige wenige können doch noch auf einen Misstrauens-Instinkt vertrauen
Gruß
Eisbein
Also hier wäre sonst der Link zum Download des Dokuments: http://workupload.com/file/aWpbtuPd
Wie schon erwähnt, auf dem Computer sieht es gut aus... Office 2010... Nur auf iPad und iPhone konnte ich es testen und dort hat es nicht funktioniert... geöffnet wurde das Dokument mit dem Standard "App"... also einfach nur draufgeklickt und das Dokument wurde automatisch gleich geöffnet.
Wie schon erwähnt, auf dem Computer sieht es gut aus... Office 2010... Nur auf iPad und iPhone konnte ich es testen und dort hat es nicht funktioniert... geöffnet wurde das Dokument mit dem Standard "App"... also einfach nur draufgeklickt und das Dokument wurde automatisch gleich geöffnet.
Das mit dem .zip hab ich nicht ganz hinbekommen... bzw als Archiv öffnen... keine Ahnung wie das gehen soll... :O
habe den Download Link mal eingefügt falls du Interesse hast... Sollte schon kein Virus sein, ist ja nur bei diesem Dokument so ;)
habe den Download Link mal eingefügt falls du Interesse hast... Sollte schon kein Virus sein, ist ja nur bei diesem Dokument so ;)
Das mit dem .zip hab ich nicht ganz hinbekommen... bzw als Archiv öffnen... keine Ahnung wie das gehen soll... :O
Man nimmt dafür 7-Zip
Dokument damit entpacken und siehe da ..... -> mehrere Dateien und sogar eine Datei Data
Mit WordPad kann man sich dann die einzelnen Dateien anschauen
Gruß
Eisbein
Hi,
aus dem Inhalt deiner Datei kann man gut lernen bzw.erkennen:
verschicke niemals Dateien wo was herausgelöscht wurde, sondern erstelle sie neu (Word ist und bleibt ne Plaudertasche)
Einfach mal die Datei im Texteditor anschauen und druchscrollen, dann sieht man einiges im Klartext
Dann sieht man etwa in den ersten 10% der Datei:
"T S - L o g o - l i n k s" und
"JFIF" -> deutet auf ein eingbettetes jpg hin
"File written by Adobe Photoshop"
Die letzten Details liefert ein Abspeichern zu docx und anschließendem Umbenennen zu zip.
Dann sieht man ein image1.jpg (interessanter Weise aus dem Jahr 1979, ich wusste gar nicht das es da schon T-Systems gab) welches mit headers1.xml eingebunden wird.
Warum Word es nicht anzeigt kann ich auch nicht nachvollziehen, dafür bin ich in Word nicht so fit.
Gruß
Xolger
aus dem Inhalt deiner Datei kann man gut lernen bzw.erkennen:
verschicke niemals Dateien wo was herausgelöscht wurde, sondern erstelle sie neu (Word ist und bleibt ne Plaudertasche)
Einfach mal die Datei im Texteditor anschauen und druchscrollen, dann sieht man einiges im Klartext
Dann sieht man etwa in den ersten 10% der Datei:
"T S - L o g o - l i n k s" und
"JFIF" -> deutet auf ein eingbettetes jpg hin
"File written by Adobe Photoshop"
Die letzten Details liefert ein Abspeichern zu docx und anschließendem Umbenennen zu zip.
Dann sieht man ein image1.jpg (interessanter Weise aus dem Jahr 1979, ich wusste gar nicht das es da schon T-Systems gab
) welches mit headers1.xml eingebunden wird.Warum Word es nicht anzeigt kann ich auch nicht nachvollziehen, dafür bin ich in Word nicht so fit.
Gruß
Xolger
Zitat von @Cizen87:
Das mit dem .zip hab ich nicht ganz hinbekommen... bzw als Archiv öffnen... keine Ahnung wie das gehen soll... :O
Geht so auch nur beim neuen OpenXML-Format (docx), nicht beim alten binären *.doc.Das mit dem .zip hab ich nicht ganz hinbekommen... bzw als Archiv öffnen... keine Ahnung wie das gehen soll... :O
Da sieht man noch einiges mehr. Vor allem sollte Sinan mal den im Word angegebenen Nachnamen ausbessern.
Es war ja schon immer so, dass Microsoft Office Produkte so ziemlich alles in deren Dateien reinziehen, was gerade so im "Zwischenspeicher" rumfliegt.
Es war ja schon immer so, dass Microsoft Office Produkte so ziemlich alles in deren Dateien reinziehen, was gerade so im "Zwischenspeicher" rumfliegt.
Moin, auch gerade von einem Kunden als Trojaner-Spam zugeleitet bekommen, die Mail enthält einen Verweis auf http://mat-kom.pl/, deren CMS ist gehackt und enthält die verseuchten DOCs für jeden Kunden (vielleicht spezifisch zum Zuordnen?), darin "nichts" - also Fließtext - außer direkten Code...
Zur "leeren" Vorlage: ein hübscher Trick ist immer, Logos in der Fußzeile aller geraden Seiten oder ab Kapitel 2 einzubetten, nimmt man dann aus der Vorlage alle vorigen Seitenumbrüche raus, ist das Dokument "leer", wird wieder Text geschrieben und umgebrochen, schwubs, ist die passende Kopfzeile zu sehen.
HG
Mark
Zur "leeren" Vorlage: ein hübscher Trick ist immer, Logos in der Fußzeile aller geraden Seiten oder ab Kapitel 2 einzubetten, nimmt man dann aus der Vorlage alle vorigen Seitenumbrüche raus, ist das Dokument "leer", wird wieder Text geschrieben und umgebrochen, schwubs, ist die passende Kopfzeile zu sehen.
HG
Mark
Noch zu dem, was der Trojaner macht, offenbar bettet er die Normal.dot des Opfers mit ein, sodaß die Doc, die mir weitergeleitet wurde nun weitere Daten von diesem enthält, so kann obiges Ergebnis zustande gekommen sein?!
Damit würde er andere Hashes generieren - als Schutz z.B. - hat jemand Zeit für eine schöne Malware-Analyse?
HG
Mark
Damit würde er andere Hashes generieren - als Schutz z.B. - hat jemand Zeit für eine schöne Malware-Analyse?
HG
Mark
