Virus als Zip getarnt?
Hallo zusammen,
ein Kollege der sich mich der Technikwelt nicht so auskennt, hat vermutlich eine Schadsoftware per Mail erhalten. Es ist eine ZIP Datei die verschlüsselt ist. Höchstwahrscheinlich getarnt, damit der Virus Scanner dies nicht als Virus identifizieren kann. Nun meine Frage:
- Würde schon ausreichen, wenn man die Zipdatei öffnet,ohne das Passwort einzugeben/zu klicken sprich nicht zu extrahieren. Kann man da schon befallen sein?
danke
6 Antworten
Möglich aber unwahrscheinlich.
Möglich wenn:
- Das Zip-Programm nicht aktuell ist und/oder selbst eine Sicherheitslücke aufweist, die dieser spezielle Trojaner ausnutzt.
- Windows nicht aktuell ist und/oder selbst eine Sicherheitslücke aufweist, die dieser spezielle Trojaner ausnutzt.
- Der Passwortdialog nicht vom Zip-Programm sondern vom Trojaner kommt, der dann schon entpackt und aktiv ist
- Vielleicht weitere (eher exotische) Möglichkeiten
Unwahrscheinlich weil:
- Diese Trojaner aus auch meiner Berufserfahrung her nicht so arbeiten. Die meisten stammen aus Baukästen und möchten sich durch die Passwortverschlüsselung wie du es gesagt hast vor Virenscanner schützen.
- Wäre eine Infektion ohne Eingabe des Passworts möglich oder zumindest wahrscheinlich, dann würden die Virenschleudern doch nicht diesen Umstand mit den Passwörtern machen.
Um ganz sicher zu sein:
- An einem sicher sauberen Rechner einen Antivirus-Bootstick erstellen und das System damit scannen.
https://any.run/
Den kannte ich tatsächlich nocht nicht, aber das Pricing ist leider wieder nur auf Firmen oder Profis ausgerichtet, die quasi nichts anderes machen, schade.
Ich kann mir also überlegen, ob ich lüge "non-commercial use" oder meinem Kunden diese 89 Euro für einen Monat weiter berechne und sofort wieder kündigen. Sehr suboptimal.
... datei.zip.exe ...
Ja super hässlich, ist für eine komplette Antwort tatsächlich ein wertvoller Hinweis, allerdings habe ich diese Doppelnamen in meinem Berufsumfeld jetzt seit einigen Jahren gar nicht mehr gesehen, nachdem sie eine Weile sehr häufig waren.
Aber das fällt letztlich auch in die Kategorie:
Der Passwortdialog nicht vom Zip-Programm sondern vom Trojaner kommt, der dann schon entpackt und aktiv ist
Die ich ja aufgeführt hatte...
Es gibt auch einen free Account - der reicht um sich mal eine Datei näher anzusehen.
Bei intezer gibt es das auch - auf 10 / Monat limitiert was mehr als ausreicht für die meisten. Selbst für kleine Firmen.
Und wenn du sowas beruflich anbietest dann hast du sicher entsprechende Kunden. Wenn die nicht sicher sind rechne denen ein paar EUR / Analyse und du hast die 900 EUR / Jahr mit wenigen Analysen wieder drin...
Ja super hässlich, ist für eine komplette Antwort tatsächlich ein wertvoller Hinweis, allerdings habe ich diese Doppelnamen in meinem Berufsumfeld jetzt seit einigen Jahren gar nicht mehr gesehen, nachdem sie eine Weile sehr häufig waren.
... das ist wie in der Mode - irgendwann kommt alles wieder in der einen oder anderen Form.
Wenn du magst melde dich einfach per PM - dann können wir und privat unterhalten. Oder schau auf die Firmenwebseite (Link im Profil) und melde dich per Signal, Telegram, WhatsApp oder einfach per Telefon...
Unter Umständen ja. Die Datei kann man aber bei Virustotal vorsorglich überprüfen lassen:
Dann würde ich die Datei mal in ein paar Tagen nochmals überprüfen.
Das ist ein Hase und Igel-Spiel zwischen Schadsoftwareentwicklern und Antivirenherstellern.
Es ist eine ZIP Datei die verschlüsselt ist. Höchstwahrscheinlich getarnt, damit der Virus Scanner dies nicht als Virus identifizieren kann
Jein - das hilft nur bedingt aber die Datei wird erkannt sobald sie entpackt wird...
Da ich an einem Bruch zu dem Thema arbeite kannst du dich gern per Freundschafsanfrage an mich wenden und ich schau mir die Datei an... Eventuell wäre es auch ein interessantes Beispiel für mein Buch.
Würde schon ausreichen, wenn man die Zipdatei öffnet,ohne das Passwort einzugeben/zu klicken sprich nicht zu extrahieren. Kann man da schon befallen sein?
Theoretisch ja. Die Chance ist nicht so groß aber es kann sein.
Virenscanner sind bei neuen Versionen eher weniger zuverlässig - einen kleinen Test kannst du hier sehen: https://hackenlernen.com/blog.php?t=python_tutorial_reverse_shell
Die erste Frage ist also ist es eine ZIP-Datei oder eine .zip.exe Datei. Dann sollte man sich fragen was steckt da drin und was macht es.
Dazu gibt es alle möglichen Tools online - zB:
Diese führen die Schadware aus und präsentieren dir eine Analyse.
Ja ich hab schon ein paar geschrieben... https://hackenlernen.com/buecher.php
Das aktuelle beschäftigt sich mit möglichen Bedrohungen aus dem Internet und wie man diese erkennt und analysiert.
Wenn du die Datei(en) darin nicht ausführst, passiert auch nichts. Ein ZIP-Archiv an sich ist nicht gefährlich. Es kann auch nicht von Virenscannern erkannt werden, weil es komprimiert ist. Die Datei(en) darin sollte(n) aber, falls diese gefährlich ist/sind, erkannt werden.
Möglich, wenn die Ausführung der Schadsoftware bereits an dem ausführen des ZIP-Archives hängt.
Schon sehr gut aber man kann sich auch die ZIP-Datei ansehen:
So weiß man was möglich wäre.
PS.: Ich hatte mal einen Trojaner gesehen der eine datei.zip.exe war und auch eine PW-Eingabe verlangte um dann eine harmlose Datei in einem Ordner zu packen und den zu öffnen.
Das Opfer dachte es hätte das ZIP-PW eingegeben und war infiziert.