Artikel-ID: 130417251
So schützt die iQ.Suite vor Dridex-Malware
Schlagwörter: IBM Domino Microsoft Exchange Microsoft SMTP Watchdog Convert
Problembeschreibung:
Derzeit rollt eine neue Trojaner-Welle (Dridex-Malware), die eine Lücke im Microsoft RichText Format (RTF) ausnutzt.
Details:
Bei den beobachteten Angriffen wurde eine präparierte Word-Datei mit der Dateiendung ".doc" verteilt, welche jedoch die Datenstrukturen einer RTF-Datei aufweist. Nach dem Öffnen der Datei wird, vom Benutzer unbemerkt, eine ".hta"-Datei heruntergeladen und ausgeführt. Bei dieser Datei handelt es sich um eine sog. "HTML Applikation", welche mit den Rechten des angemeldeten Benutzers ausgeführt wird. Die "HTML Applikation" kann wiederum genutzt werden, um beliebigen weiteren Code (z. B. Visual Basic Skript-Code) auf dem anfälligen System auszuführen.
Nachdem die präparierte Word-Datei geöffnet wurde, wird diese durch den ausgeführten Code unmittelbar wieder beendet. Der ausgeführte Code sorgt nun dafür, dass zur Ablenkung eine weitere, unverdächtige Word-Datei geöffnet wird.
Lösung
Mit der iQ.Suite kann durch unterschiedliche Massnahmen, sofortiger Schutz vor dieser neuen Attacke hergestellt werden.
Neben der Verwendung von Antivirus-Engines in iQ.Suite Watchdog, stehen zwei weitere Massnahmen zur Verfügung:
- Blocken von E-Mails, die Microsoft RTF Dateianhänge beinhalten (iQ.Suite Watchdog)
- Automatisches konvertieren von Microsoft RTF Dateianhänge in PDF (iQ.Suite Convert)
1. Blocken von E-Mails mit Microsoft RTF Dateianhänge (iQ.Suite Watchdog)
iQ.Suite Domino – Konfiguration
iQ.Suite Microsoft Exchange / SMTP – Konfiguration
2. Konvertieren von Microsoft RTF Dateianhänge in PDF (iQ.Suite Convert)
iQ.Suite Domino – Konfiguration
iQ.Suite Microsoft Exchange / SMTP – Konfiguration
Zuletzt aktualisiert am 30.05.2017