Wie teste ich, ob rspamd mit den OLEtools funktioniert
Frank Fiene
ffiene at veka.com
Mi Nov 27 12:03:13 CET 2019
Wo soll ich sie dir hinlegen?
Aktuelle Virenpattern erkennen die Datei schon als Virus.
Viele Grüße!
> Am 27.11.2019 um 11:45 schrieb Carsten Rosenberg <cr at ncxs.de>:
>
> Hey,
>
> oletools hat hier nicht gegriffen, weil der Type Autoexec fehlt. Die
> Funktion kann aber auch nur nicht erkannt worden sein.
>
>
> Hier grad mehr dazu:
> https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/
> https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/
>
> Kannst du mir die Datei zur Verfügung stellen?
> Welche Version der oletools hast du installiert?
>
>
> Viele Grüße
>
> Carsten
>
> On 26.11.19 15:46, Frank Fiene wrote:
>> Ich habe mal wieder ein Problem.
>>
>> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.
>>
>> Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:
>>
>> +------------+--------------+-----------------------------------------+
>> | Type | Keyword | Description |
>> +------------+--------------+-----------------------------------------+
>> | Suspicious | Open | May open a file |
>> | Suspicious | Output | May write to a file (if combined with |
>> | | | Open) |
>> | Suspicious | Print # | May write to a file (if combined with |
>> | | | Open) |
>> | Suspicious | MkDir | May create a directory |
>> | Suspicious | CreateObject | May create an OLE object |
>> | Suspicious | CallByName | May attempt to obfuscate malicious |
>> | | | function calls |
>> | Suspicious | Chr | May attempt to obfuscate specific |
>> | | | strings (use option --deobf to |
>> | | | deobfuscate) |
>> +------------+--------------+-----------------------------------------+
>>
>>
>> Das sollte also eigentlich blockiert werden, korrekt?
>> Virustotal sagt mir dasselbe.
>>
>> Wo fange ich mit dem Debuggen an?
>>
>>
>>
>> Viele Grüße!
>> Frank
>>
Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW
VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191127/1eef025a/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users