Viren Forensik

Alle anderen Themen ...

Moderator: ModerationP

Viren Forensik

Beitragvon Fen » 30. Apr 2020, 09:41

Hallo,

falls das Thema stört, bitte löschen.

XLSX-Dateien gelten as harmlos, aber diese enthält 'malware':

python zipdump.py Virus/xlsx/88a9d336e063ac174f3d68123ed37da8befe8520ed82e87eeb4d17c87ea7b523.xlsx
Index Filename Encrypted Timestamp
1 [Content_Types].xml 0 2020-04-28 01:37:56
2 _rels/.rels 0 2020-04-28 01:37:56
3 xl/_rels/workbook.xml.rels 0 2020-04-28 01:37:56
4 xl/workbook.xml 0 2020-04-28 01:37:56
5 xl/theme/theme1.xml 0 2020-04-28 01:37:56
6 xl/worksheets/_rels/sheet1.xml.rels 0 2020-04-28 01:37:56
7 xl/worksheets/sheet2.xml 0 2020-04-28 01:37:56
8 xl/worksheets/sheet3.xml 0 2020-04-28 01:37:56
9 xl/worksheets/sheet1.xml 0 2020-04-28 01:37:56
10 xl/sharedStrings.xml 0 2020-04-28 01:37:56
11 xl/styles.xml 0 2020-04-28 01:37:56
12 xl/printerSettings/printerSettings1.bin 0 2020-04-28 01:37:56
13 docProps/core.xml 0 2020-04-28 01:37:56
14 docProps/app.xml 0 2020-04-28 01:37:56
15 xl/drawings/vmlDrawing1.vml 0 2020-04-28 01:37:56
16 xl/embeddings/oleObject1.bin 0 2020-04-28 01:37:56


Die Zeitstempel stimmen nicht mit denen der 'core.xlm' überein. Das ist das einzige Anzeichen für Manipulationen, die ich bis jetzt gefunden habe. Ein Hexdump der 'vmDrawing1.vml' und der 'oleObject1.bin' zeigt keine lesbaren Texte.

Diese Viren-Datei war vor wenigen Tagen 'scharf', sollte aber jetzt von den meisten Anti-Viren Programmen erkannt werden.

Frage: Wie analysiert man solche Dateien? (unter Linux, vor allem mit Python)

mfg
Fen
 

Re: Viren Forensik

Beitragvon mumpel » 30. Apr 2020, 10:29

Und wo ist das Virus? Ich sehe keins. Es muss nicht unbedingt ein Virus sein. Wenn ich manuell in eine Datei eingreife, z.B. die XML-Datei für das Menüband manuell anpasse, dann dürfte der Zeitstempel auch nicht mehr passen.
Benutzeravatar
mumpel
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 8219
Registriert: 09. Jan 2005, 15:20
Wohnort: Lindau (B)

gelöscht

Beitragvon Fennek » 08. Mai 2020, 10:48

gelöscht
Benutzeravatar
Fennek
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 726
Registriert: 12. Feb 2016, 18:56


Zurück zu Offtopic (provisorisch)

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste