6
Auffällige Dateien im Trend Micro Verzeichnis - Ransomware?
Hi,
wir bekommen auf einigen Servern (TrendMicro OfficeScan Clients) sporadisch Warnungen aus unserer Selbstbau-Überwachung, dass im Programmverzeichnis von Trend Micro HA3-Dateien (auch AAA und ABC) auftauchen. Diese Endungen sind ja nun im Zusammenhang mit Ransomware aufgetaucht.
Unser TM Support hat uns nun mitgeteilt, dass man diese Dateien "nicht kennen" würde, sprich, dass man nicht wüsste, dass TM sowas produziert.
Diese Dateien folgen dem Schema
Nun sind wir etwas nervös deswegen. Meldungen in dieser Richtung kommen von unseren AV Scannern nicht. Also keine Dateien, welche wegen des Verdachts auf Ransomware in der Quarantäne landen oder automatisch desinfiziert werden würden.
Auch auf dem zentralen TM AV Server selbst keine Meldungen.
Hat das jeman so auch schon mal beobachtet?
Trend Micro OfficeScan Client v11.0.1639 mit allen Updates und Patterns.
E.
wir bekommen auf einigen Servern (TrendMicro OfficeScan Clients) sporadisch Warnungen aus unserer Selbstbau-Überwachung, dass im Programmverzeichnis von Trend Micro HA3-Dateien (auch AAA und ABC) auftauchen. Diese Endungen sind ja nun im Zusammenhang mit Ransomware aufgetaucht.
Unser TM Support hat uns nun mitgeteilt, dass man diese Dateien "nicht kennen" würde, sprich, dass man nicht wüsste, dass TM sowas produziert.
Diese Dateien folgen dem Schema
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.HA3
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.AAA
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.ABC
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS1D05OG.HA3
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VSDL1IJ8.AAA
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VSDL1IJ8.ABC
Nun sind wir etwas nervös deswegen. Meldungen in dieser Richtung kommen von unseren AV Scannern nicht. Also keine Dateien, welche wegen des Verdachts auf Ransomware in der Quarantäne landen oder automatisch desinfiziert werden würden.
Auch auf dem zentralen TM AV Server selbst keine Meldungen.
Hat das jeman so auch schon mal beobachtet?
Trend Micro OfficeScan Client v11.0.1639 mit allen Updates und Patterns.
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299683
Url: https://administrator.de/contentid/299683
Printed on: April 25, 2024 at 04:04 o'clock
6 Comments
Latest comment
Ich wünsche einen schönen guten Morgen!
Das ist korrekt
Das ist ja schonmal ein eindeutiges Zeichen dafür, dass diese Dateien nicht dort hin gehören.
Ob die betreffenden Support-Mitarbeiter aber ausreichende Kenntnisse über die Software haben steht auf einem anderen Blatt.
Da wäre ich auch etwas nervös um ehrlich zu sein. Zumal der TM-Support selbst, diese Dateien nicht zuordnen kann.
Wieviele Backupzyklen speichert ihr ab?
Wann sind euch diese Dateien aufgefallen?
Leider nein, da wir eine andere AV-Software nutzen.
Liebe Grüße
Zitat von @emeriks:
wir bekommen auf einigen Servern (TrendMicro OfficeScan Clients) sporadisch Warnungen aus unserer Selbstbau-Überwachung, dass im Programmverzeichnis von Trend Micro HA3-Dateien (auch AAA und ABC) auftauchen. Diese Endungen sind ja nun im Zusammenhang mit Ransomware aufgetaucht.
wir bekommen auf einigen Servern (TrendMicro OfficeScan Clients) sporadisch Warnungen aus unserer Selbstbau-Überwachung, dass im Programmverzeichnis von Trend Micro HA3-Dateien (auch AAA und ABC) auftauchen. Diese Endungen sind ja nun im Zusammenhang mit Ransomware aufgetaucht.
Das ist korrekt
Zitat von @emeriks:
Unser TM Support hat uns nun mitgeteilt, dass man diese Dateien "nicht kennen" würde, sprich, dass man nicht wüsste, dass TM sowas produziert.
Unser TM Support hat uns nun mitgeteilt, dass man diese Dateien "nicht kennen" würde, sprich, dass man nicht wüsste, dass TM sowas produziert.
Das ist ja schonmal ein eindeutiges Zeichen dafür, dass diese Dateien nicht dort hin gehören.
Ob die betreffenden Support-Mitarbeiter aber ausreichende Kenntnisse über die Software haben steht auf einem anderen Blatt.
Zitat von @emeriks:
Diese Dateien folgen dem Schema
Nun sind wir etwas nervös deswegen. Meldungen in dieser Richtung kommen von unseren AV Scannern nicht. Also keine Dateien, welche wegen des Verdachts auf Ransomware in der Quarantäne landen oder automatisch desinfiziert werden würden.
Auch auf dem zentralen TM AV Server selbst keine Meldungen.
Diese Dateien folgen dem Schema
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.HA3
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.AAA
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS*.ABC
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VS1D05OG.HA3
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VSDL1IJ8.AAA
- c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\VSDL1IJ8.ABC
Nun sind wir etwas nervös deswegen. Meldungen in dieser Richtung kommen von unseren AV Scannern nicht. Also keine Dateien, welche wegen des Verdachts auf Ransomware in der Quarantäne landen oder automatisch desinfiziert werden würden.
Auch auf dem zentralen TM AV Server selbst keine Meldungen.
Da wäre ich auch etwas nervös um ehrlich zu sein. Zumal der TM-Support selbst, diese Dateien nicht zuordnen kann.
Wieviele Backupzyklen speichert ihr ab?
Wann sind euch diese Dateien aufgefallen?
Leider nein, da wir eine andere AV-Software nutzen.
Liebe Grüße
Build 1639 ist keinesfalls aktuell. Da fehlen (wenn es sich um den englischen Server handelt)
- SP1 (B2995)
- CP 4150
- CP 4268
Ohne SP1 hast Du auch keinen Schutz vor "unauthorized file encryption", was im Moment extrem wichtig ist.
Gruß Christian
- SP1 (B2995)
- CP 4150
- CP 4268
Ohne SP1 hast Du auch keinen Schutz vor "unauthorized file encryption", was im Moment extrem wichtig ist.
Gruß Christian
Build 1639 ist keinesfalls aktuell. Da fehlen (wenn es sich um den englischen Server handelt)
Sorry, mein Fehler. Ich war zu faul, und habe bloß unter Systemsteuerung nachgesehen.Zuletzt aktualisiert: 21.03.2016
Agent-Version: 11.0.4664 SP1
Viren-Scan-Engine (64 Bit): 9.850.1008
Agent-Pattern der intelligenten Suche: 12.415.00
IntelliTrap Ausnahme-Pattern: 1.275.00
IntelliTrap Pattern: 0.227.00
Spyware/Grayware-Scan-Engine (64 Bit): 2.51.1018
Spyware/Grayware-Pattern: 17.15
URL-Filter-Engine: 3.6.1022
Smart-Feedback-Engine (64 Bit): 2.51.1018
Viren-Cleanup-Engine (64 Bit): 7.5.1035
Viren-Clieanup-Template: 1494
Early Boot Cleanup Driver (64 Bit): 1.5.1020
Treiber für Netzwerküberwachung (64 Bit): 2.0.1017
Treiber für Netzwerkfilterung (64 Bit): 2.0.1017
Einige dieser Komponenten scheinen nicht aktuell zu sein, vorausgesetzt der Server hat die neuern Versionen.
In Klammern meine Versionsnummern:
Spyware/Grayware-Scan-Engine (64 Bit): 2.51.1018 (6.2.4011)
Early Boot Cleanup Driver (64 Bit): 1.5.1020 (1.5.1023)
Treiber für Netzwerkfilterung (64 Bit): 2.0.1017 (2.0.1077)
Sieht danach aus, daß der Agent einige Treiber nicht aktualisieren kann. Das entspricht auch dem Verhalten, daß im OfficeScan Client\Temp Ordner permantent Dateien runtergeladen und temporär gespeichert werden.
Fehlersuche über Ereignisanzeige oder tmudump.txt
Gruß Christian
In Klammern meine Versionsnummern:
Spyware/Grayware-Scan-Engine (64 Bit): 2.51.1018 (6.2.4011)
Early Boot Cleanup Driver (64 Bit): 1.5.1020 (1.5.1023)
Treiber für Netzwerkfilterung (64 Bit): 2.0.1017 (2.0.1077)
Sieht danach aus, daß der Agent einige Treiber nicht aktualisieren kann. Das entspricht auch dem Verhalten, daß im OfficeScan Client\Temp Ordner permantent Dateien runtergeladen und temporär gespeichert werden.
Fehlersuche über Ereignisanzeige oder tmudump.txt
Gruß Christian
Guten Tag
Die Komponenten , deren Versionen und Datum des letzten Updates findet man sehr easy, bei dieser Vorgehensweise.
Rechten Mausklick auf das TM Icon in der Taskanzeige
Dann Komponentenversionen aus Kontext auswählen
Wann und was er updatet hängt natürlich von den Einstellungen im Office Scan Server ab.
Gruß
HajoWe
Die Komponenten , deren Versionen und Datum des letzten Updates findet man sehr easy, bei dieser Vorgehensweise.
Rechten Mausklick auf das TM Icon in der Taskanzeige
Dann Komponentenversionen aus Kontext auswählen
Wann und was er updatet hängt natürlich von den Einstellungen im Office Scan Server ab.
Gruß
HajoWe
Hi,
habt Ihr Mittlerweile eine Lösung? habe seit Samstag das selbe Problem. Was mich wundert:
1. Es wird versucht die Datei vom System im c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\ zu Specihern
2. Es ist nicht der angemeldete User
3. Es ist bisher das einzige Verzeichnis wo es versucht wird
Bin um jeden Rat dankbar
habt Ihr Mittlerweile eine Lösung? habe seit Samstag das selbe Problem. Was mich wundert:
1. Es wird versucht die Datei vom System im c:\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\ zu Specihern
2. Es ist nicht der angemeldete User
3. Es ist bisher das einzige Verzeichnis wo es versucht wird
Bin um jeden Rat dankbar
