Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?

Frage Sicherheit Viren und Trojaner

Mitglied: feedge

feedge (Level 1) - Jetzt verbinden

23.08.2013, aktualisiert 11:32 Uhr, 2814 Aufrufe, 8 Kommentare, 3 Danke

Hallo,

wir haben ein Problem mit Trojanermeldungen bei uns im Netzwerk. Eingesetzter Virenscanner ist McAfee VirusScan Enterprise in Version 8.8 mit dem EPO.
Gemeldet wird ein PDF/Blacole

Das ganze zieht ziemliche Kreise, es sind PDF Dokumente befallen die per Exchange versand wurden, PDFs die im SVN liegen und auf etlichen Rechnern verteilt sind.

Nun die alles entscheidende Frage bevor wir unsere Gegen-Maßnahmen weiter fortsetzen. Wie wahrscheinlich ist es das dies ein False/ Positive ist?
Eine ältere Virendefinition (25. Juli 13) hat noch nicht ausgeschlagen, die aktuelle (Gestern und Heute) schlägt aus.
Auf Virustotal schlägt nur McAfee aus, alle anderen nicht. Meinen Support Account bei McAfee bekomme ich heute nichtmehr aktiviert, Ansprechpartner nicht erreichbar.

Was meinen die Erfahrenen Administrator.de Nutzer?

Danke!
Mitglied: DerWoWusste
23.08.2013 um 11:30 Uhr
Hi.

Mit hoher Sicherheit false-Positive. McAfee kennt ihn seit 2012, er sollte mindestens 3/4 der anderen somit bekannt sein und nicht 0/45.
Bitte warten ..
Mitglied: brammer
23.08.2013 um 11:32 Uhr
Hallo,

einen betroffenen Rechner vom Netz nehmen, mit einer Live CD booten und von dort scannen....
Wenn du dann einen Infekt findest, dann soltest du weitersuchen...

brammer
Bitte warten ..
Mitglied: Dobby
23.08.2013, aktualisiert um 12:25 Uhr
Hallo,

- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.

Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!

Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut

- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!

- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.

- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.

Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!

Gruß
Dobby

P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!

Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA

P.P.S.

Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.


Hinweis (Disclaimer)
- Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Bitte warten ..
Mitglied: Lochkartenstanzer
23.08.2013 um 12:33 Uhr
Moin,

nachdem das "Uralt"-Malware ist, und alle anderen nichts finden, spricht alles erstmal dafür, daß es ein false-positive ist. Passiert manchmal, ist kein weltuntergang, vor allen kein grund in Panik zu verfallen.

Sollte auf jeden Fall zwar mit Mcafee abgeklärt werden.

Wichtiger ist aber, eure PDF-Reader zu checken, denn es ist wieder ein 0-day für Adobe Reader draußen.

lks
Bitte warten ..
Mitglied: Stonygan
23.08.2013 um 12:55 Uhr
Hi,

wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.

https://mysupport.mcafee.com/Eservice/Default.aspx

Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei uns ca. 1 Stunde gedauert.

Viel Glück.

Gruß Andreas
Bitte warten ..
Mitglied: Lochkartenstanzer
23.08.2013 um 13:05 Uhr
Nachtrag:

Der 0-day soll laut heise ein fake sein. rotzdem ist ein Augenerk auf die rReader nicht verkehrt.

lks
Bitte warten ..
Mitglied: feedge
26.08.2013 um 10:56 Uhr
Hallo,

erst einmal vielen Dank für die eure Antworten, echt super!
Ja mein nächster Schritt wird der Kontakt mit dem McAfee Support sein, aber eher nur zur abschließenden Klärung, denn mit den neuen Defeinitionsdateien schlägt auch der McAffe nicht mehr an.


Zitat von Dobby:
Hallo,

- Zur Not auch noch mit dem Betriebsrat und der GL reden und eine Workstation oder ein sehr starkes Laptop
mit WireShark und/oder TCPDUMP an einen Switch hängen und dort einen gespiegelten Port konfigurieren,
am besten am Core Switch oder Router. Und zusätzlich eventuell einen gut geschützten Protokollserver (Logfileserver)
aufstellen, damit man dann auch die Protokolldateien noch zusätzlich zu rate ziehen kann.


Hallo, ich habe Erfahrungen mit diesen Dingen. Musste schon einmal einen ähnlichen Fall aufklären und habe mich damals auch Mirroringports, Wireshark und Snort bedient um zum Ziel zu kommen.
Allerdings muss man beim Wireshark auch wissen wonach man sucht, bei dem False-Posetiv PDF Trojaner nicht unbedingt die einfachste Übrung.
Neben den technischen Dingen, die dem Admin das leben schwer machen (NAT und PAT, xlate Tabellen loggen usw. ) - hast du Recht gibt es natürlich auch immer den rechtlichen Punkt,um sauber gegenüber BR und GL zu handeln.


Als begrenzende Größe der aufgezeichneten Dateien hat sich bei mir eine Größe von 2 GB als recht annehmbar
erwiesen
Intel Core i7 oder Intel Xeon mit "etwas" sollte das oder die aber schon mitbringen!

Dann muss man zwar nachher die Dateien durchforsten, aber ist auch ein Stückchen näher an der sicheren Seite!
und man hat etwas in der Hand was man vorweisen oder zeigen kann! TCPDUMP und WireShark ergänzen sich im
übrigen auch recht gut

TCPDUMP? noch nie angefasst, wie ist denn die Auswertbarkeit? Daten sammeln ist leicht, aber der Umgang mit den erfassten Daten und auch das heraus zu lesen ist die Kunst. Von Daher ist ein IDS alá Snort ganz gut und hilft beim Lesen. Ich kann dazu übrigens das OS Projekt https://snorby.org/ empfehlen.

- Falls einem das ganze immer noch nicht koscher vorkommt könnte man auch schnell einen Snortserver
aufsetzen und ein paar Sensoren im Netzwerk verteilen denn wenn schon in den WireShark Protokolldateien auftaucht
weiß man auch auf was man den den Snort "trimmen" muss!

- Für ein noch besseres Gefühl und ein bisschen mehr Sicherheit, sollte man sich eventuell auch die
Anschaffung einer UTM oder STM Lösung überlegen.

- Zum Schluss noch wie sollte es im Bereich Sicherheit auch anders sein, sollte man sich sogar überlegen,
mehrere wenn nicht sogar alle, dieser Möglichkeiten miteinander zu kombinieren, denn das würde dann auch die
Sicherheit des Unternehmensnetzwerkes signifikant zu erhöhen und solche Problemen zukünftig ganz anders zu
begegnen.

Naja einen dauerhaften Einsatz von Snort und anderen Tools sieht die Leitung und der BR sehr kritisch gegenüber, deshalb sind diese Dinge nur bei konkreten Verdacht oder einem Vorfall mit Zustimmung einzusetzen. Bei Verstoß, kann man sich schon in die Nesseln setzen..
Aber für nächstes Jahr ist auch die Ergänzung mit NGFW vorgesehen. Pilotbetrieb läuft bereits.

Mir ist natürlich auch klar dass es, wenn es sich um einen False Positiv Befund gehandelt hat, das ganze schon recht
überzogen scheint, aber Dir sollte auch klar sein dass Ihr Euer neues Patent gar nicht erst anmelden müsst wenn dem
nicht so ist und die Entwicklungsosten von einer halben Millionen dann futsch ist, wenn aus China Euer Produkt
in einem Monat auf dem Weltmarkt schon für rund 20 "HongKong Dollars" zu kaufen ist!

False/ Positive hin oder her, Sicherheits-Vorfälle (angenommen es wäre wirklich ernst) dieser Art ziehen leider nicht nur Arbeit in technischer Form nach sich. Der Vertrauensbruch der MA zur IT (welche Sekretärin, Gruppenleiter, who ever, denkt bei PDF an eine Bedrohung?), der kritische Blick der GL auf die Arbeitsweise der IT - das sind in der Regel die schlimmeren Folgen für den Betrieb, wenn es nicht gerade eine ernstgemeinte Wirtschaftsspionage ist.

Gruß
Dobby

P.S.
Das die anderen AVs den nicht kennen halte ich eher für ein Gerücht!
Die haben eben nur andere Namen für den von McAfee " Exploit-pdf!Blacole" getauften oder benannten Trojaner!

Aliases -
AVG - Script/PDF.Exploit
Avast - JS:Pdfka-gen [Expl]
Ikarus - JS.Pdfka
Microsoft - Exploit:Win32/Pdfjsc.ABA

P.P.S.

> Trojaner im Netzwerk, Virustotal: 1 von 46 Scannern schlägt aus, False- Positive?
Ändere bitte einmal die Überschrift in "Trojaner im Netzwerk gefunden"
Ist kein Muss, aber Du möchtest ja eine rege Beteiligung haben und nicht ich.


Hinweis (Disclaimer)
- Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung.
Bitte warten ..
Mitglied: feedge
26.08.2013 um 10:59 Uhr
Zitat von Stonygan:
Hi,

wir hatten heute genau das gleiche Problem (gleiche Config), laut McAfee ist da ein False Possitive. Es gibt von McAfee dafür
eine extra.dat um diese über den ePo einzuspielen und zu verteilen, Problem war damit bei uns behoben. Also schnellstens
Support dort eröffnen, um diese extra.dat zugeschickt zu bekommen.

https://mysupport.mcafee.com/Eservice/Default.aspx

Einloggen oder neuen Benutzer erstellen (hatten wir gemacht) und eine betroffene PDF mitschicken zur Prüfung. Antwort hat bei
uns ca. 1 Stunde gedauert.

Viel Glück.

Gruß Andreas

Danke für deine Antwort, das gibt mir Sicherheit.
Auch mit den aktuellen Definitionen erkennt McAfee nichts mehr.

Leider gibt es bei uns nur eine McAfee Grant# für >50 Standorte, und der (Unter)Accountverwalter ist wohl afk ;)
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
Nach Start kein Netzwerk (11)

Frage von MegaGiga zum Thema Windows 10 ...

LAN, WAN, Wireless
gelöst Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz (4)

Frage von GKKKAT zum Thema LAN, WAN, Wireless ...

Windows Server
WSUS Neuinstallation auf SBS2011 schlägt fehl (3)

Frage von Blongmon zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...