Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg cr at ncxs.de
Mi Nov 27 11:45:11 CET 2019


Hey,

oletools hat hier nicht gegriffen, weil der Type Autoexec fehlt. Die
Funktion kann aber auch nur nicht erkannt worden sein.


Hier grad mehr dazu:
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/

Kannst du mir die Datei zur Verfügung stellen?
Welche Version der oletools hast du installiert?


Viele Grüße

Carsten

On 26.11.19 15:46, Frank Fiene wrote:
> Ich habe mal wieder ein Problem.
> 
> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.
> 
> Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:
> 
> +------------+--------------+-----------------------------------------+
> | Type       | Keyword      | Description                             |
> +------------+--------------+-----------------------------------------+
> | Suspicious | Open         | May open a file                         |
> | Suspicious | Output       | May write to a file (if combined with   |
> |            |              | Open)                                   |
> | Suspicious | Print #      | May write to a file (if combined with   |
> |            |              | Open)                                   |
> | Suspicious | MkDir        | May create a directory                  |
> | Suspicious | CreateObject | May create an OLE object                |
> | Suspicious | CallByName   | May attempt to obfuscate malicious      |
> |            |              | function calls                          |
> | Suspicious | Chr          | May attempt to obfuscate specific       |
> |            |              | strings (use option --deobf to          |
> |            |              | deobfuscate)                            |
> +------------+--------------+-----------------------------------------+
> 
> 
> Das sollte also eigentlich blockiert werden, korrekt?
> Virustotal sagt mir dasselbe.
> 
> Wo fange ich mit dem Debuggen an?
> 
> 
> 
> Viele Grüße!
> Frank
> 


Mehr Informationen über die Mailingliste Postfixbuch-users