Recommended Posts

Hallo zusammen,

 

bietet die Emsisoft keinen Mailschutz? Ich habe heute eine Mail mit einem zip-Anhang bekommen. Diese wurde nicht erkannt.

VG

secunet

Share this post


Link to post
Share on other sites

Hallo secunet,

vielen Dank für deine Anfrage.

Darf ich fragen welcher E-Mail Client zum Abrufen der E-Mails verwendet wird?

Eventuell gibt es auch noch keinen Eintrag in der Signaturen-Datenbank. Könnten Sie uns bitte einen VirusTotal Link von einer Analyse der Datei zukommen lassen?

Dazu bitte die Zip-Datei auf der folgenden Seite hochladen und analysieren. Den Link welcher generiert wird dann bitte hier bekannt geben: https://www.virustotal.com/#/home/upload

Wenn keine Signatur vorhanden ist so kann man diese dann in der Datenbank einpflegen. In dem Fall würde die Verhaltensanalyse verhindern dass Malware welche noch nicht mittels Signatur erkannt wird nich ausgeführt werden kann.

Wie ist die Einstellung für die Option "Scantiefe:" für den Dateiwächter unter "Schutz" -> "Dateiwächter" eingestellt? Und wurden die Dateien vom Zip-File entpackt und nicht erkannt?

 

Share this post


Link to post
Share on other sites

Hallo Galaxy,

Wir überwachen den E-Mail Verkehr nicht direkt weil dafür HTTPS aufgebrochen werden müsste.

Es deutet alles darauf hin dass so eine Vorgehensweise die Sicherheit eines Systems insgesamt reduziert. Dazu gibt es übrigens einen Artikel in unserem Blog - allerdings konnte ich gerade nur die englische Version finden: https://blog.emsisoft.com/en/26117/https-interception-what-emsisoft-customers-need-to-know/

Der Dateiwächter oder unsere Verhaltensanalyse erkennt und blockiert Bedrohungen sobald diese auf der Festplatte landen. Der Dateiwächter scannt aber nur die ZIP-Datei und nicht deren Inhalt. Es kann also sein dass eine ZIP-Datei selbst nicht sofort erkannt wird wenn dafür kein Eintrag in der Datenbank besteht, sondern erst die Dateien wenn diese entpackt werden sollten.

Dabei reagiert der Dateiwächter vorweg wenn bereits ein Eintrag besteht, die Verhaltensanalyse wenn die Datei dann auch noch ausgeführt werden soll - was in so einem Fall natürlich nicht zu empfehlen ist.

 

Share this post


Link to post
Share on other sites
Am 23.6.2018 um 11:14 schrieb Thomas Ott:

Hallo secunet,

vielen Dank für deine Anfrage.

Darf ich fragen welcher E-Mail Client zum Abrufen der E-Mails verwendet wird?

Eventuell gibt es auch noch keinen Eintrag in der Signaturen-Datenbank. Könnten Sie uns bitte einen VirusTotal Link von einer Analyse der Datei zukommen lassen?

Dazu bitte die Zip-Datei auf der folgenden Seite hochladen und analysieren. Den Link welcher generiert wird dann bitte hier bekannt geben: https://www.virustotal.com/#/home/upload

Wenn keine Signatur vorhanden ist so kann man diese dann in der Datenbank einpflegen. In dem Fall würde die Verhaltensanalyse verhindern dass Malware welche noch nicht mittels Signatur erkannt wird nich ausgeführt werden kann.

Wie ist die Einstellung für die Option "Scantiefe:" für den Dateiwächter unter "Schutz" -> "Dateiwächter" eingestellt? Und wurden die Dateien vom Zip-File entpackt und nicht erkannt?

 

Hallo,

als Client wird Thunderbird und Outlook benutzt (bei beiden wurde es nicht erkannt).

Die virustotal.com-Analyse ergab allerdings einen Treffer: Emsisoft Trojan.Agent.DALV (B) -> https://www.virustotal.com/#/file/41a2237dc1da9bad349902844b34b9b49caa95d2741967e34f22ac544c44f9e1/detection

Die Scantiefe-Einstellung ist auf "ausgewogen" gesetzt.

VG

secunet

Share this post


Link to post
Share on other sites

Hallo secunet,

vielen Dank für Ihre Rückmeldung mit den zusätzlichen Informationen.

In dem Fall hat Emsisoft Anti-Malware noch nicht reagiert weil die ZIP Datei selbst gescannt wurde nicht aber der Inhalt.

Beim Zugreifen auf die enthaltene Datei wäre dies geschehen und unser Sicherheitsprogramm hätte eine Warnung ("Trojan.Agent.DALV (B)") ausgegeben.

Unter dem angegebenen VirusTotal Link findet sich auch Emsisoft Anti-Malware unter der Liste der Programme welche die Bedrohung bereits erkennen.

Bitte lassen Sie mich wissen wenn wir noch helfen können.

 

EAM_VirusTotal_Trojan.PNG
Download Image

Share this post


Link to post
Share on other sites

Hallo,

bedeutet es, wenn die besagte Mail mit dem zip-file zu einem Konto weitergeleitet wird, das unter TB/Outlook nicht per ssl (also transparent) empfangen wird, dann schlägt Emsi-AV Alarm? Oder doch nicht, weil nur der Overhead, also auf der "zip"-Ebene, und nicht der payload gescannt wird.

VG secunet

Share this post


Link to post
Share on other sites

Hallo secunet,

vielen Dank für Ihre Rückmeldung.

Da der Payload nicht gescannt wird, würde es nur einen Alarm geben wenn für das zip-File selbst eine Signatur in der Datenbank vorhanden ist.

Ansonsten gibt es erst einen Alarm beim Zugriff auf den Inhalt des Archivs.

Für weitere Fragen stehe ich gerne zur Verfügung.

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.