Wie teste ich, ob rspamd mit den OLEtools funktioniert

Frank Fiene ffiene at veka.com
Mi Nov 27 12:03:13 CET 2019


Wo soll ich sie dir hinlegen?

Aktuelle Virenpattern erkennen die Datei schon als Virus.


Viele Grüße! 


> Am 27.11.2019 um 11:45 schrieb Carsten Rosenberg <cr at ncxs.de>:
> 
> Hey,
> 
> oletools hat hier nicht gegriffen, weil der Type Autoexec fehlt. Die
> Funktion kann aber auch nur nicht erkannt worden sein.
> 
> 
> Hier grad mehr dazu:
> https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/
> https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/
> 
> Kannst du mir die Datei zur Verfügung stellen?
> Welche Version der oletools hast du installiert?
> 
> 
> Viele Grüße
> 
> Carsten
> 
> On 26.11.19 15:46, Frank Fiene wrote:
>> Ich habe mal wieder ein Problem.
>> 
>> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.
>> 
>> Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:
>> 
>> +------------+--------------+-----------------------------------------+
>> | Type       | Keyword      | Description                             |
>> +------------+--------------+-----------------------------------------+
>> | Suspicious | Open         | May open a file                         |
>> | Suspicious | Output       | May write to a file (if combined with   |
>> |            |              | Open)                                   |
>> | Suspicious | Print #      | May write to a file (if combined with   |
>> |            |              | Open)                                   |
>> | Suspicious | MkDir        | May create a directory                  |
>> | Suspicious | CreateObject | May create an OLE object                |
>> | Suspicious | CallByName   | May attempt to obfuscate malicious      |
>> |            |              | function calls                          |
>> | Suspicious | Chr          | May attempt to obfuscate specific       |
>> |            |              | strings (use option --deobf to          |
>> |            |              | deobfuscate)                            |
>> +------------+--------------+-----------------------------------------+
>> 
>> 
>> Das sollte also eigentlich blockiert werden, korrekt?
>> Virustotal sagt mir dasselbe.
>> 
>> Wo fange ich mit dem Debuggen an?
>> 
>> 
>> 
>> Viele Grüße!
>> Frank
>> 

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191127/1eef025a/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users