Wie teste ich, ob rspamd mit den OLEtools funktioniert
Carsten Rosenberg
cr at ncxs.de
Mi Nov 27 11:45:11 CET 2019
Hey,
oletools hat hier nicht gegriffen, weil der Type Autoexec fehlt. Die
Funktion kann aber auch nur nicht erkannt worden sein.
Hier grad mehr dazu:
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/
Kannst du mir die Datei zur Verfügung stellen?
Welche Version der oletools hast du installiert?
Viele Grüße
Carsten
On 26.11.19 15:46, Frank Fiene wrote:
> Ich habe mal wieder ein Problem.
>
> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.
>
> Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:
>
> +------------+--------------+-----------------------------------------+
> | Type | Keyword | Description |
> +------------+--------------+-----------------------------------------+
> | Suspicious | Open | May open a file |
> | Suspicious | Output | May write to a file (if combined with |
> | | | Open) |
> | Suspicious | Print # | May write to a file (if combined with |
> | | | Open) |
> | Suspicious | MkDir | May create a directory |
> | Suspicious | CreateObject | May create an OLE object |
> | Suspicious | CallByName | May attempt to obfuscate malicious |
> | | | function calls |
> | Suspicious | Chr | May attempt to obfuscate specific |
> | | | strings (use option --deobf to |
> | | | deobfuscate) |
> +------------+--------------+-----------------------------------------+
>
>
> Das sollte also eigentlich blockiert werden, korrekt?
> Virustotal sagt mir dasselbe.
>
> Wo fange ich mit dem Debuggen an?
>
>
>
> Viele Grüße!
> Frank
>
Mehr Informationen über die Mailingliste Postfixbuch-users