Trojaner behaftete E-Mail geöffnet

[RedIvan]

Moin Allerseits,

jetzt ist mir das passiert wovor ich meine Kollegen immer warne...

Habe über den Outlookexchangeserver eine E-Mail erhalten, die ich besser selber direkt gelöscht hätte.

Normalerweise fängt ESET die E-Mails immer ab. E-Mail sah legit aus und da waren 2 .xlsx Dateien mit dabei. Ich habe die erste Datei zwar nicht geöffnet aber gespeichert (Windows 10 Umgebung). Als ich gemerkt habe, dass die Datei aus irgendeinem Grund nicht im Ordner erschien, wollte ich nochmal in die E-Mail rein, aber da hatte ESET seinen Job dann schon getan und die E-Mail gelöscht.

Hat ESET die Datei während dem Speicherprozess erkannt und deswegen erst gar nicht abgelegt? Oder kann eine infizierte .xlsx Datei unsichtbar hinterlegt werden?

Im ESET Log konnte ich keine Info dazu finden, nur eine Info, dass er die E-Mail gelöscht hat:
<LOG>
<RECORD>
<COLUMN NAME="Objekt">Von: Zalavári, Balázs (Tungsram) Betreff Re: Request for Quotation - Offer 00122 </COLUMN>
<COLUMN NAME="Erkennung">wahrscheinlich eine Variante von Win32/Exploit.CVE-2017-11882.F Trojaner</COLUMN>
<COLUMN NAME="Aktion">Enthielt infizierte Datei(en)</COLUMN>
<COLUMN NAME="Information">Ein Ereignis ist aufgetreten, als die folgende Anwendung eine E-Mail empfangen hat: C:\Program Files (x86)\Microsoft Office\Office16\OUTLOOK.EXE.</COLUMN>
<COLUMN NAME="Hash"></COLUMN>
<COLUMN NAME="Zuerst hier gesehen"></COLUMN>
</RECORD>
</LOG>

Habe dann einen Virenscan laufen lassen und alles scheint sauber. Noch etwas was ich machen kann? System neu aufsetzen ist eher schlecht.

Danke im Voraus für Tipps.

 

[Sephe]

Du bist safe - denn die Datei hast du ja eben nicht mit Excel geöffnet.

 

[Falc410]

Du hast die Excel Dateien doch nicht geöffnet - und selbst wenn, müssen Macros i.d.R. manuell noch aktiviert werden bevor etwas passiert.
Also ist doch nichts passiert. Und wenn die Excel nun schon gelöscht ist, kann auch kein Kollege die öffnen.

 

[Porky Pig]

ESET hat doch die Datei erkannt und Du hat ja auch nichts geöffnet.

 

[RedIvan]

Aller klar. Danke.

Dadurch, dass ich die Datei nicht geöffnet hatte, ging ich auch davon aus, dass da nichts ist. Aber wenn es einem dann das erste Mal selbst passiert, gerät die eigene Meinung dann doch etwas ins Wanken😅

 

[whats4]

es geht immer darum, ob was ausgeführt wurde.
theoretisch kannst tonnen von schadcode auf einem datenträger haben, solange kein prozessor den schadcode abarbeitet, passiert auch nix.
das xlsx kann nix von sich aus, egal was da drin ist, es braucht exel, um was zu tun.

und eset ist ein gutes programm, und wie jeder gute virenscanner, klinkt es sich in I/O vorgänge am datenträger ein, der "echtzeitschutz".
einerseits ein grund, warum virenscanner leistung kosten, andererseits: macht auch sinn.

und genau da hat es die verseuchte datei auch erwischt, die halt in der eset-quarantaine gelandet ist, und nicht im ordner.
also: technisch ist die noch da, aber gefesselt, geknebelt und im tresor begraben.
wirklich weg ist sie dann, wennst im eset die quarantaine leerst.

 

[andy_m4]

und wie jeder gute virenscanner, klinkt es sich in I/O vorgänge am datenträger ein, der "echtzeitschutz".
einerseits ein grund, warum virenscanner leistung kosten, andererseits: macht auch sinn.

Darüber kann man geteilter Meinung sein. Um Dateien zu überprüfen, muss die der Virenscanner auch parsen. Dabei können Fehler passieren die zum Beispiel Bugs in der AV-Software triggern. Dann wird die AV-Software selbst plötzlich ein Problem. Das ist insbesondere dann tragisch, wenn man gar kein Excel hat. Dann wird man möglicherweise infiziert obwohl man ohne AV-Software gar nicht gefährdet gewesen wäre.

Und nein. Das ist jetzt kein hypothetisches Szenario. Das ist schon mehrmals vorgekommen.

Man kann jetzt darüber streiten, ob insgesamt die Schutzwirkung von AV-Software einer möglichen Schadwirkung überwiegt. Das aber gar nicht zu beachten und grundsätzlich als "gut" zu bezeichnen wird der Sache aber nicht gerecht.

 

[whats4]

ich weiss.
aber die tschechen machen das recht gut. auch fehlalarme sind höchst selten.
grade im office umfeld mit vielen mails und meist wenig zeit halte ich virenscanner für durchaus angebracht.
denn ein klick ist schnell passiert, grade, wenn der kopf grade woanders ist.
nicht umsonst hat ms nach jahrzehnten mit dem win10 defender mal gas gegeben. das gui ist halt mist.

 

[purzelbär]

System neu aufsetzen ist eher schlecht.

An so was muss ich nicht einmal denken weil ich es mir angewöhnt habe, 1-2 Mal im Monat ein Systembackup von Windows 10 zu machen mit Aomei Backupper auf eine externe USB Festplatte die in der Regel offline ist.