Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Viren und Trojaner

GELÖST

Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?

Mitglied: feedge

feedge (Level 1) - Jetzt verbinden

23.08.2013, aktualisiert 11:32 Uhr, 2901 Aufrufe, 8 Kommentare, 3 Danke

Hallo,

wir haben ein Problem mit Trojanermeldungen bei uns im Netzwerk. Eingesetzter Virenscanner ist McAfee VirusScan Enterprise in Version 8.8 mit dem EPO.
Gemeldet wird ein PDF/Blacole

Das ganze zieht ziemliche Kreise, es sind PDF Dokumente befallen die per Exchange versand wurden, PDFs die im SVN liegen und auf etlichen Rechnern verteilt sind.

Nun die alles entscheidende Frage bevor wir unsere Gegen-Maßnahmen weiter fortsetzen. Wie wahrscheinlich ist es das dies ein False/ Positive ist?
Eine ältere Virendefinition (25. Juli 13) hat noch nicht ausgeschlagen, die aktuelle (Gestern und Heute) schlägt aus.
Auf Virustotal schlägt nur McAfee aus, alle anderen nicht. Meinen Support Account bei McAfee bekomme ich heute nichtmehr aktiviert, Ansprechpartner nicht erreichbar.

Was meinen die Erfahrenen Administrator.de Nutzer?

Danke!
Mitglied: DerWoWusste
23.08.2013 um 11:30 Uhr
Hi.

Mit hoher Sicherheit false-Positive. McAfee kennt ihn seit 2012, er sollte mindestens 3/4 der anderen somit bekannt sein und nicht 0/45.
Bitte warten ..
Mitglied: brammer
23.08.2013 um 11:32 Uhr
Hallo,

einen betroffenen Rechner vom Netz nehmen, mit einer Live CD booten und von dort scannen....
Wenn du dann einen Infekt findest, dann soltest du weitersuchen...

brammer
Bitte warten ..
Mitglied: 108012
23.08.2013, aktualisiert um 12:25 Uhr
Hallo,

- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.

Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!

Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut

- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!

- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.

- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.

Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!

Gruß
Dobby

P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!

Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA

P.P.S.

Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.


Hinweis (Disclaimer)
- Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Bitte warten ..
Mitglied: Lochkartenstanzer
23.08.2013 um 12:33 Uhr
Moin,

nachdem das "Uralt"-Malware ist, und alle anderen nichts finden, spricht alles erstmal dafür, daß es ein false-positive ist. Passiert manchmal, ist kein weltuntergang, vor allen kein grund in Panik zu verfallen.

Sollte auf jeden Fall zwar mit Mcafee abgeklärt werden.

Wichtiger ist aber, eure PDF-Reader zu checken, denn es ist wieder ein 0-day für Adobe Reader draußen.

lks
Bitte warten ..
Mitglied: Stonygan
23.08.2013 um 12:55 Uhr
Hi,

wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.

https://mysupport.mcafee.com/Eservice/Default.aspx

Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei uns ca. 1 Stunde gedauert.

Viel Glück.

Gruß Andreas
Bitte warten ..
Mitglied: Lochkartenstanzer
23.08.2013 um 13:05 Uhr
Nachtrag:

Der 0-day soll laut heise ein fake sein. rotzdem ist ein Augenerk auf die rReader nicht verkehrt.

lks
Bitte warten ..
Mitglied: feedge
26.08.2013 um 10:56 Uhr
Hallo,

erst einmal vielen Dank für die eure Antworten, echt super!
Ja mein nächster Schritt wird der Kontakt mit dem McAfee Support sein, aber eher nur zur abschließenden Klärung, denn mit den neuen Defeinitionsdateien schlägt auch der McAffe nicht mehr an.


Zitat von 108012:
Hallo,

- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.


Hallo, ich habe Erfahrungen mit diesen Dingen. Musste schon einmal einen ähnlichen Fall aufklären und habe mich damals auch Mirroringports, Wireshark und Snort bedient um zum Ziel zu kommen.
Allerdings muss man beim Wireshark auch wissen wonach man sucht, bei dem False-Posetiv PDF Trojaner nicht unbedingt die einfachste Übrung.
Neben den technischen Dingen, die dem Admin das leben schwer machen (NAT und PAT, xlate Tabellen loggen usw. ) - hast du Recht gibt es natürlich auch immer den rechtlichen Punkt,um sauber gegenüber BR und GL zu handeln.


Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar
erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!

Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut

TCPDUMP? noch nie angefasst, wie ist denn die Auswertbarkeit? Daten sammeln ist leicht, aber der Umgang mit den erfassten Daten und auch das heraus zu lesen ist die Kunst. Von Daher ist ein IDS alá Snort ganz gut und hilft beim Lesen. Ich kann dazu übrigens das OS Projekt https://snorby.org/ empfehlen.

- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!

- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.

- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.

Naja einen dauerhaften Einsatz von Snort und anderen Tools sieht die Leitung und der BR sehr kritisch gegenüber, deshalb sind diese Dinge nur bei konkreten Verdacht oder einem Vorfall mit Zustimmung einzusetzen. Bei Verstoß, kann man sich schon in die Nesseln setzen..
Aber für nächstes Jahr ist auch die Ergänzung mit NGFW vorgesehen. Pilotbetrieb läuft bereits.

Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!

False/ Positive hin oder her, Sicherheits-Vorfälle (angenommen es wäre wirklich ernst) dieser Art ziehen leider nicht nur Arbeit in technischer Form nach sich. Der Vertrauensbruch der MA zur IT (welche Sekretärin, Gruppenleiter, who ever, denkt bei PDF an eine Bedrohung?), der kritische Blick der GL auf die Arbeitsweise der IT - das sind in der Regel die schlimmeren Folgen für den Betrieb, wenn es nicht gerade eine ernstgemeinte Wirtschaftsspionage ist.

Gruß
Dobby

P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!

Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA

P.P.S.

> Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.


Hinweis (Disclaimer)
- Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Bitte warten ..
Mitglied: feedge
26.08.2013 um 10:59 Uhr
Zitat von Stonygan:
Hi,

wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür
eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens
Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.

https://mysupport.mcafee.com/Eservice/Default.aspx

Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei
uns ca. 1 Stunde gedauert.

Viel Glück.

Gruß Andreas

Danke für deine Antwort, das gibt mir Sicherheit.
Auch mit den aktuellen Definitionen erkennt McAfee nichts mehr.

Leider gibt es bei uns nur eine McAfee Grant# für >50 Standorte, und der (Unter)Accountverwalter ist wohl afk ;)
Bitte warten ..
Ähnliche Inhalte
Apple
Quicktime 7 und der Fehler 46
Frage von Cocktailz82Apple

Hallo zusammen, ich habe hier ein Problem und komme damit nicht weiter. Vielleicht weiß von euch ja jemand wie ...

Erkennung und -Abwehr
Ransomware-"Schutz" durch Virustotal?
Frage von majonaiseErkennung und -Abwehr1 Kommentar

Hallo zusammen, ich habe eine mE spannende Situation und konnte dazu noch nichts finden: Ich verantworte ein Netz in ...

iOS
IP Netzwerk scanner APP
Frage von schnullerkingiOS4 Kommentare

Hallo Zusammen Ich suche eine neue Apple IOS App im Appstore um Netzwerke zu scannen. Bis jetzt hatte ich ...

Monitoring
Netzwerk über einen gewissen Zeitraum scannen
gelöst Frage von devil7974Monitoring5 Kommentare

Hallo zusammen, ich suche ein Freewaretool mit dem ich über einen gewissen Zeitraum unser Netzwerk nach aktiven IP-Adressen scannen ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 17 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 17 StundenSicherheit11 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 18 StundenSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 18 StundenSicherheit13 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
gelöst Frage von Windows10GegnerNetzwerkgrundlagen21 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...