, Author

Last Updated on

Liebe Leserinnen und Leser,

Logo von clamdrib LIN
clamdrib LIN Logo

wieder einmal macht ein ziemlich neuer Trojaner seinen Rundgang! Gestern bekam ich eine E-Mail mit dem obigen Betreff, welche zwar absolut keinen Fetzen Text enthielt, dafür aber einen Anhang mit dem Namen CONTRACT_51415444019_tmowizard.zip.  Mein SeaMonkey hat das Ding mit freundlicher Hilfe von SpamAssassin gleich mal in den Junk-Ordner verschoben und mein ClamAV brachte mir die nette Meldung INFIZIERT: Sanesecurity.Malware.26230.VbsHeur.UNOFFICIAL“. Dieses „UNOFFICIAL“ ließ bei mir sofort sämtliche Alarmglocken schrillen, denn das verheißt nie etwas Gutes und ich sollte dabei wie fast immer recht behalten!

 

Die große Prüfung!

Ich habe den ZIP-Anhang wie immer in meinen ganz speziellen Ordner abgespeichert und dann entpackt, hierbei kam eine Datei mit dem schlichten Namen „contract.vbs“ zu Tage. Das ist ein Script, welches in Microsofts Visual Basic geschrieben wurde und mich dadurch mit meinem Linux/Kubuntu äußerst wenig juckt! :mrgreen:

Diese beiden Dateien habe ich dann wie immer bei VirusTotal hochgeladen, wobei ich das heute wiederholt habe um euch entsprechend frische Ergebnisse zu liefern. Hier also einmal der erste Link:

CONTRACT_51415444019_tmowizard.zip bei VirusTotal

und hier der Zweite:

contract.vbs bei VirusTotal

Wieder einmal wird hierbei deutlich, daß die meisten Leute ihren Virenscanner nicht richtig konfigurieren können. ClamAV liefert bei VirusTotal wie schon so oft kein Ergebnis, die Datei sei also sauber. Das erschreckende bei beiden Ergebnissen ist für mich, daß viele Leute sich auf diese Teile verlassen und wie man sieht dabei auch von einigen „großen“ Virenscannern im Stich gelassen werden!

Komplett daneben finde ich dabei auch, daß viele nicht den Inhalt des Anhangs testen, sondern nur den kompletten Anhang.

 

Leute, daß ist komplett der falsche Weg!

 

Sobald dieser Anhang nämlich anders gepackt wird, dann wird das Ding schon nicht mehr erkannt. Hier ist für die Nutzer meines oben verlinkten Tutorials schon ersichtlich, welchen Vorteil mein Vorgehen hat. ClamAV entpackt nämlich damit solche Dinger und scannt den Inhalt, wodurch solche Teile natürlich verloren haben! Wobei hier ja wie man am Ergebnis sieht, daß bei mir die Heuristik zugeschlagen hat, auf welche man sich jedoch auch nicht wirklich verlassen sollte!

 

Mein Fazit:

Auch der beste Virenscanner taugt nichts, wenn er falsch konfiguriert wird. Aber selbst der kleine ClamAV kann bei richtiger Konfiguration Schädlinge erkennen, welche die oftmals falsch konfigurierten „großen“  Virenscanner unerkannt durchgehen lassen!

Schaut euch also die Einstellungen der von euch verwendeten Scanner genau an, damit ihr nicht plötzlich ein unerfreuliches Ergebnis bekommt!

 

Viele virenfreie Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum

Y gwir yn erbyn Y byd!

Mike, TmoWizard Zaubersmilie

Dieses Werk ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Computer/Internet, Information, Spam & Co

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.