ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Unzustellbarkeitsbenachrichtigung
Autoresponder
Datenbanken verschieben
Produktversion
Kontakte und PDA
Exchange 2007 AgentLog
Dynamische Verteilergruppen
Vista Passwortablauf
Zeitsynchronisierung
Royal TS
SMTP Diagnostic
Logfiles lesen
ISO-Image als CD
IP Subnetze
Private IP Adressbereiche
MIME-Typen
Bekannte Ports
Office 365 Passwort
Malware melde

 

Übermitteln von Malware an Microsoft zur Überprüfung - von Christian Gröbner


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft Security Essentials
  • Forefront/System Center Endpoint Protection

 

Malware und Spyware stellen eine Bedrohung für jedes System auf unterschiedliche Weise dar. Unter die Kategorie Malware fällt schädlicher Code, der z.B. nervige Popups erzeugt oder anderen Unfug mit dem System treibt. Spyware hingegen ist wesentlich gefährlicher, da diese versucht geheime Informationen, wie z.B. Anmelde- oder Kreditkartendaten, vom Benutzer auszuspähen. Aus diesem Grund ist es zwingend erforderlich, dass jedes System mit einem Antimalware/-Spyware Produkt ausgestattet ist, um das System vor der Ausführung solch schädlicher Software zu schützten. Wichtig für das Antimalware/-Spyware Produkt ist, dass dieses stets mit den aktuellen Signaturen betrieben wird, denn ohne diese können die aktuellsten Bedrohungen nicht erkannt werden. Eines muss jedem an dieser Stelle allerdings klar sein:

Da täglich zahlreiche neue Malware/Spyware und Variationen davon enteckt werden, ist es unmöglich einen hundertprozentigen Schutz zu bieten.

Hierbei ist es egal, ob man ein kostenloses oder kostenpflichtiges Produkt vervendet. Von Microsoft gibt es zwei Produkte, die für den Schutz vor Malware/Spyware eingesetzt werden können.
  • Microsoft Security Essentials
  • Forefront/System Center Endpoint Protection
Microsoft Security Essentials ist die kostenlose Variante die hauptsächlich für den Heimgebraucht gedacht ist. Die Lizenzbedingungen sehen jedoch vor, dass in Unternehmen mit maximal 10 PCs dieses Produkt ebenfalls kostenlos eingesetzt werden darf. Der Schutz von Servern ist hierbei jedoch nicht supported.

Microsoft Security Essentials kann hier kostenlos heruntergeladen werden.

Forefront/System Center Endpoint Protection ist die kostenpflichtige professionelle Lösung von Microsoft für Unternehmen. Professionell aus dem Grund, da durch Einsatz von System Center Configurations Manager ein Deployment und ein Reporting möglich sind, was mit Microsoft Security Essentials so nicht möglich ist.

Die Evaluierungsversion von Forefront/System Center Endpoint Protection kann hier heruntergeladen werden.

Beide Produkte setzen zur Erkennung die Micorsoft Engine ein, welche sich in der Top 10 Liste der Malware/Spyware-Erkennungsrate im oberen Drittel befindet. Es macht dabei keinen Unterschied, ob dabei die kostenlose oder die kostenpflichtige Version zum Einsatz kommt.
 

1. Die Geschichte zu diesem Artikel

Hinter jedem Artikel auf dieser Website steckt meistens ein aktuelles Projekt, bei dem z.B. Outlook Web App über TMG veröffentlicht wurde, oder ein aktuelles Ereignis, das so erlebt wurde. In diesem Fall handelt es sich um einen Malwarebefall eines PCs trotz aktueller Signaturen für das Antimalware/-Spyware Produkt.

Das Sicherheitskonzept gegen Malware/Spyware hierbei war schon bereits mehrstufig, d.h. es wurde der durch das Surfen verursachte Datenverkehr durch die Firewall auf Bedrohungen gescannt und abschließend wurden heruntergeladene Dateien durch den Malware/Spyware-Schutz auf dem Client gescannt. Zum Einsatz kamen hierbei Forefront TMG 2010 mit aktiviertem Malwareschutz und auf den Clients Forefront Endpoint Protection 2010. So sollte man eigentlich davon ausgehen, dass es eigentlich unöglich sei, dass ein Client mit Malware/Spyware infiziert werden kann. Diese Annahme ist leider falsch, denn wie bereits zu Beginn dieses Artikels erwähnt werden täglich zahlreiche neue Malware/Spyware und Variationen davon entwickelt, für die erst eine passende Signatur geschrieben werden muss. Ohne diese Signaturen können diese neuen Bedrohungen nicht erkannt werden. Auch das Sicherheitskonzept war an dieser Stelle aus besagtem Grund nicht mangelhaft. Dieses Ereignis muss man einfach unter der Kategorie "Dumm gelaufen" abheften. Bis diese neue Signatur vom Hersteller an die Clients verteilt werden kann vergehen unter Umständen mehrere Tage, da die Malware sorgfältig analysiert werden muss, um nicht versehentlich nicht-schadhafte Software als Malware/Spyware zu erkennen.

Was ist nun die korrekte Vorgehensweise in so einem Fall?

Als erstes wurde der befallene PC durch einen Ersatz-PC ersetzt und der befallene PC sofort vom Netz genommen und anschließend direkt neu über die Remoteinstallationsdienste installiert. Eine Überprüfung des PCs mit anderer Software auf Malware/Spyware hilft in den selstensten Fällen. In diesem Fall war es die Malware Security Shield (Details). Diese Malware nervt den Anwender permanent mit Virusmeldungen und sonstigen Popups sobald dieser auf ein Icon klickt. Somit bleiben hier auch dem Admin wenig Möglichkeiten die Infektion zu entfernen.

Als interessierter Admin hat mich dieser Vorfall natürlich doch weiter interessiert und ich wollte herausbekommen, wie es zu dieser Infektion des PCs gekommen ist. Meine Vermutung war, wie wahrscheinlich auch die jedes anderen Admins, dass der Benutzer natürlich wieder mal auf einer Seite gewesen ist, auf der er sich normal nicht aufhalten sollte. Dank der Protokollierung von Forefront TMG 2010 konnte ich mir das näher ansehen und ich wurde eines Besseren belehrt. Es handelte sich hierbei um eine absolut seriöse Website, die anscheinend irgendwie infiziert wurde. Sobald der Benutzer eine bestimmte Webseite aufruft, wurde automatisch die Malware auf den PC heruntergeladen und ausgeführt!

In der Protokollierung fand ich folgenden Eintrag, der mich stutzig werden lies:
 
xxx.xxx.xxx.xxx 80 http Zugelassene Verbindung Überprüft Genereller Internetzugriff 200 OK Intern Extern http://dzherelcya.in/softw.exe

Es wurde eine Verbindung zur einer URL hergestellt, die so mit der Website eigentlich gar nicht's zu tun hatte und es wurde eine EXE-Datei heruntergeladen! In einer gesicherten und isolierten virtuellen Maschine habe ich dann diese URL im Browser aufgerufen und ausgeführt. Wie nicht anders zu erwarten war der PC anschließend mit der Malware Security Shield infiziert. Somit war der Übeltäter überführt. Ich war nun im Besitz der Malware, doch was sollte ich damit Anfangen? Diese auf Websites zu verteilen und damit dann die Weltherrschaft an mich reissen, kam für mich nicht in Frage, da ich mich nicht auf der dunklen Seite der Macht bewege :-)

Nein, ich bin hier ganz anders vorgegangen. Als erstes habe ich in Forefront TMG 2010 eine Regel erstellt, die den Zugriff auf diese URL verweigert, damit die Malware nicht erneut heruntergeladen werden kann. Es muss sich hierbei um eine neue noch unentdeckte Variante der Malware Security Shield handeln, da laut dem Microsoft Malware Protection Center die Malware bereits bekannt ist und somit mit der aktuellsten Signaturversion erkannt werden müsste. Damit von der Microsoft Engine diese Variante des schadhaften Codes erkannt werden kann habe ich diesen an Microsoft übermittelt.

Wie Sie Malware an Microsoft zur Überprüfung senden können wird in folgenden Schritten erklärt.
 

2. Übermitteln der Malware an Microsoft zur Überprüfung

Auf der Website des Microsoft Malware Protection Centers gibt es in der oberen Navigaiton den Punkt Submit a sample, über den man Dateien auf Bedrohungen überprüfen lassen kann. Wird hierbei eine Bedrohung festgestellt, die von der Microsoft Engine noch nicht erkannt wird, so wird diese analysiert und das Muster zur Erkennung in die Signaturen aufgenommen.



Auf der Folgeseite müssen noch ein paar erforderliche Informationen bezüglich des übermittelten Datei gemacht werden.



Wichtig ist die Angabe des eingesetzen Antimalware/-Spyware Produkts und es muss natürlich die Datei an Microsoft übermittelt werden. In meinem Fall handelte es sich um Malware, die noch nicht erkannt wurde, hierfür muss die Option "I suspect this file contains malware" ausgewählt werden, damit Micorosft dies als neue Bedrohung behandeln kann. Die Option "I believe this file should not be detected as malware" ist dafür da, falls eine Datei fälschlicher Weise als Malware erkannt wird. Es ist in jedem Fall zu empfehlen eine kurze Beschreibung zur übermittelten Datei anzufügen, damit der Support Techniker schon vorab Information dazu erhält.



Nachdem die Datei zur Überprüfung an Microsoft übermittelt wurde erhält man auch schon eine E-Mail, die ein paar Informationen über die übermittelte Datei enthält. Ganz interessant ist der darin enthaltene Link zum Microsoft Malware Protection Center, über den der Status der Überprüfung abgefragt werden kann.



Ein paar Stunden später erhielt ich auch schon die nächste E-Mail vom Microsoft Malware Protection Center, in der der abschließende Status an mich übermittelt wurde. Es wurde die Bedrohung Rogue:Win32/Winwebsec darin entdeckt. Interessant an dieser E-Mail war die verwendete Sigaturversion von 1.123.224.0, denn auf den Clients war zu diesem Zeitpunkt die aktuellste Signaturversion die Version 1.123.212, welche über Microsoft Update verteilt wurde. Über den am Ende der E-Mail aufgeführten Link kann man eine Vorabversion der aktuellsten Signaturen herunterladen und diese auf dem Client installieren. Dies habe ich sofort in meiner virtuellen Maschine getestet und versucht erneut die Datei herunterzuladen und siehe da Forefront Endpoint Protection 2010 hat sofort Alarm geschlagen und die Bedrohung erkannt. Auch die zur Übermittlung bereits auf den Rechner heruntergeladene Datei wurde sofort erkannt, nachdem ich in den entsprechenden Ordner gewechselt habe.

Jetzt musste ich nur noch darauf warten, bis die akutellen Signaturen über Microsoft Update verteilt wurden. Dies lies auch nicht lange auf sich warten und die Clients waren vor dieser Bedrohung geschützt.

 

Stand: Thursday, 19. April 2012/CG.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher