TmoWizard's Impressum, Disclaimer & Datenschutz   
Dieses Blog ist NOFOLLOW-frei!

Last Updated on

Liebe Leserinnen und Leser,

Logo von clamdrib LIN

clamdrib LIN Logo

wieder einmal macht ein ziemlich neuer Trojaner seinen Rundgang! Gestern bekam ich eine E-Mail mit dem obigen Betreff, welche zwar absolut keinen Fetzen Text enthielt, dafür aber einen Anhang mit dem Namen CONTRACT_51415444019_tmowizard.zip.  Mein SeaMonkey hat das Ding mit freundlicher Hilfe von SpamAssassin gleich mal in den Junk-Ordner verschoben und mein ClamAV brachte mir die nette Meldung INFIZIERT: Sanesecurity.Malware.26230.VbsHeur.UNOFFICIAL“. Dieses „UNOFFICIAL“ ließ bei mir sofort sämtliche Alarmglocken schrillen, denn das verheißt nie etwas Gutes und ich sollte dabei wie fast immer recht behalten!

 

Die große Prüfung!

Ich habe den ZIP-Anhang wie immer in meinen ganz speziellen Ordner abgespeichert und dann entpackt, hierbei kam eine Datei mit dem schlichten Namen „contract.vbs“ zu Tage. Das ist ein Script, welches in Microsofts Visual Basic geschrieben wurde und mich dadurch mit meinem Linux/Kubuntu äußerst wenig juckt!

Diese beiden Dateien habe ich dann wie immer bei VirusTotal hochgeladen, wobei ich das heute wiederholt habe um euch entsprechend frische Ergebnisse zu liefern. Hier also einmal der erste Link:

CONTRACT_51415444019_tmowizard.zip bei VirusTotal

und hier der Zweite:

contract.vbs bei VirusTotal

Wieder einmal wird hierbei deutlich, daß die meisten Leute ihren Virenscanner nicht richtig konfigurieren können. ClamAV liefert bei VirusTotal wie schon so oft kein Ergebnis, die Datei sei also sauber. Das erschreckende bei beiden Ergebnissen ist für mich, daß viele Leute sich auf diese Teile verlassen und wie man sieht dabei auch von einigen „großen“ Virenscannern im Stich gelassen werden!

Komplett daneben finde ich dabei auch, daß viele nicht den Inhalt des Anhangs testen, sondern nur den kompletten Anhang.

 

Leute, daß ist komplett der falsche Weg!

 

Sobald dieser Anhang nämlich anders gepackt wird, dann wird das Ding schon nicht mehr erkannt. Hier ist für die Nutzer meines oben verlinkten Tutorials schon ersichtlich, welchen Vorteil mein Vorgehen hat. ClamAV entpackt nämlich damit solche Dinger und scannt den Inhalt, wodurch solche Teile natürlich verloren haben! Wobei hier ja wie man am Ergebnis sieht, daß bei mir die Heuristik zugeschlagen hat, auf welche man sich jedoch auch nicht wirklich verlassen sollte!

 

Mein Fazit:

Auch der beste Virenscanner taugt nichts, wenn er falsch konfiguriert wird. Aber selbst der kleine ClamAV kann bei richtiger Konfiguration Schädlinge erkennen, welche die oftmals falsch konfigurierten „großen“  Virenscanner unerkannt durchgehen lassen!

Schaut euch also die Einstellungen der von euch verwendeten Scanner genau an, damit ihr nicht plötzlich ein unerfreuliches Ergebnis bekommt!

 

Viele virenfreie Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum

Y gwir yn erbyn Y byd!

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 #Trojanerwarnung: CONTRACT 51415444019 tmowizard von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Über TmoWizard

Ich blogge hier aus Spaß am Schreiben über verschiedene Themen, wobei es auf meinem Castle kein Hauptthema gibt. Es kommt immer darauf an, was denn so gerade Sache ist. Nebenbei läuft hier die Rockantenne dazu, denn bekanntlich geht ja mit Musik alles besser! ;-) Ansonsten lese ich gerne irgendwelche Romane, wobei hier neben Fantasy und Horror auch Science-Fiction, Krimis und Western nicht fehlen dürfen! Ach ja: Trotz meinem Alter lese ich immer wieder Asterix, wobei mir leider ein Album fehlt. Alles weiter über mich kann man hier im Internet finden ... naja, zumindest ein bißchen was. Ein Magier wird niemals alle seine Geheimnisse preisgeben, geht ja mal gar nicht! :-D

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst diese HTML Tags und Attribute nutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Hier sind auch Kommentarlinks nofollow frei!