AustinPowers schrieb:
Das Skript erscheint mir recht einfach und sinnvol, doch weiß ich nicht, was genau ClamAVs sigtool dort tut bzw. was genau er erkennen kann. Ich dürfte natürlich nicht ein einziges VBA-Skript durchlassen, da sonst die gesamte Maßnahme ungenügend und unsere Computer weiterhin gefährdet wären.
Ein Restrisiko bleibt immer, 100% Sicherheit gibt es nicht.
ClamAv schreibt, dass das sigtool "VBA/Word6 macro code" entdeckt.
Werden nun ALLE VBAs erkannt oder gibt es da noch Ausnahmen?
Da bin ich mir nicht sicher. Ich nehme an, dass das Tool Makros im älteren Word-Format "doc" erkennt. Das neuere Format "docx" ist ja prinzipiell ein Zip-Archiv. Meines Wissens liegen dort eventuelle Makros im Unterordner "VBA". Eventuell hilft dir auch dieser Link.
Und was genau heißt denn "Detects vba macros containing blacklisted strings"? Wo definiere ich denn diese Blacklist mit den von mir unerwünschten Strings? Da wäre ich ja schon gänzlich überfordert, da ich nicht weiß, wie die Locky-VBA-Skripte aussehen.
Wenn du sicher gehen willst, dann filtere alle Dokumente mit Makros. Sollte doch ein wichtiges dabei gewesen sein, kannst du es ja aus der Quarantäne wiederherstellen.
Des weiteren mutieren diese Skripte ja auch, sodass dann unter Umständen morgen schon nicht mehr alles erkannt wird.
Das ist immer so. Angreifer denken sich neue Wege aus, Viren zu verbreiten. Die neuesten Mails mit Crypto-Trojaner kommen bei uns mit *.js-Dateien an. Das wichtigste ist, die User dafür zu sensibilisieren, denn der Mensch ist immer noch der größte Angriffsvektor.