Artikel-ID: 021216244

iQ.Suite Domino: Schutz vor Makroviren

Schlagwörter:  IBM Domino  Watchdog

Problembeschreibung

Makroviren sind hauptsächlich in Microsoft Office Dokumenten eingebettet. Sie stammen oft aus Dokumenten, die als E-Mail-Anhang versendet oder durch das Klicken von schadhaften URLs in Phishing Mails heruntergeladen werden.

Erhält ein Benutzer ein infiziertes Dokument per E-Mail und versucht dieses zu öffnen, so kann dieser Virus andere Betriebssysteme befallen, Einstellungsparameter verändern und Daten verschlüsseln oder sogar löschen. Dies kann innerhalb eines Unternehmens schwerwiegende Folgen haben.

Mit der iQ.Suite können eine Vielzahl an Szenarien umgesetzt werden, um per E-Mail versendete Makros in Microsoft Office Dokumenten zu erkennen und diese entschärft dem User zuzustellen. Wird das erhaltene Dokument als vertrauenswürdig eingestuft, kann dieses im Nachgang im Original zugestellt werden.

Lösung
Modul iQ.Suite Watchdog

Mit dem Modul iQ.Suite Watchdog können per E-Mail versendete Dateianhänge auf Makros und VBA Skripte in Microsoft Office Dokumenten analysiert und das Originaldokument in Quarantäne gestellt werden. Die Dateianhänge sollten jedoch vorab durch einen oder mehrere Virenscanner überprüft werden.

Durch Auswahl der entsprechenden Dateimuster unter Watchdog - Utilities - Fingerprints und Zusammenführung in ein Dateieinschränkungsdokument sowie Mapping des Dokuments zum dafür erstellten Watchdog Mailjob werden die Dateianhänge der eingehenden E-Mails analysiert.

Watchdog Mailjob
Suspicious Office Formats
Quarantänekonfigurationsdokument

Mit Hilfe eines Quarantänekonfigurationsdokuments sowie der Auswahl des allg. Bearbeitungsmodus "Mail nicht bearbeiten" im Reiter Operations des Watchdog Mailjobs wird das Originaldokument in die definierte Quarantäne kopiert.

Um das Makro-Dokument dem Benutzer zuzustellen, wird dieses mit Hilfe von iQ.Suite Convert in eine PDF-Datei umgewandelt. Im dafür notwendigen iQ.Suite Convert Mailjob werden die gleichen Fingerprints ausgewählt wie zuvor im Dateieinschränkungsdokument.

Damit der originale Dateianhang aus der E-Mail entfernt wird, wird die folgende Option entsprechend ausgewählt. Für die Konvertierung besteht die Möglichkeit ein PDF/A zu erzeugen.

Der Empfänger sollte eine Benachrichtigung erhalten, dass der Original-Dateianhang aus Sicherheitsgründen in eine PDF-Datei umgewandelt wurde und darüber informiert werden, wie ggf. die Originaldatei angefordert werden kann.

Original-Dateianhang
Weitere Informationen

Alternativ können Makros in Office Dokumenten mit Hilfe von iQ.Suite Convert entfernt und die bereinigte Datei dem Empfänger im Originalformat zugestellt werden.

Mithilfe des iQ.Suite Regelwerks sind weitere Szenarien möglich, um dem Benutzer den Original-Dateianhang zuzustellen bzw. um diesen anzufordern.

Dabei wird das Microsoft Office Dokument in einer Quarantäne "geparkt", welche entweder nach einem bestimmten Zeitraum die E-Mail an den Empfänger automatisch freigibt oder mithilfe einer Quarantäne-Sammelbenachrichtigung eine Anforderung der E-Mail durch den Benutzer ermöglicht.

In beiden Fällen sollte jedoch beim Senden aus der Quarantäne die Überprüfung durch einen Anti-Virenscanner garantiert sein.

Die GBS_AntiRansomware_Fingerprints.gxl.zip enthält Fingerprints, die nicht in der Standard-Konfiguration enthalten sind. Über den Konfigurationsimport können diese erweiterten Fingerprints zur Standard-Konfiguration hinzugefügt werden.

Zuletzt aktualisiert am 22.12.2016


« vorheriger Artikel nächster Artikel »

Wie bewerten Sie diesen Artikel?

0/5 Sterne (0 Stimmen)
iQ.Suite Domino: Schutz vor Makroviren 0 5 0

Ihr Kommentar


Captcha

Zurück

Cookies erleichtern die Bereitstellung dieser Webseite. Mit der Nutzung dieser Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Mehr >>