Druckversion des Themas

Geschrieben von: Nightwatch 11.09.2008, 11:24

Hallo

Ich habe mir vor drei Tagen bei Vistaprint neue Visitenkarten bestellt. Heute morgen kam die Bestätigung, dass die Bestellung versandt wurde.

Nur rund 30 Minuten später fand ich folgende E-Mail in meinem Postfach:
http://imageshack.us

Soweit so gut. Als ich die E-Mail nur aufrufen, also ansehen wollte, meldete sich Deepguard mit zwei Pop-Ups. Die Windows-Mail.exe versucht zwei Registrierungseinträge zu erstellen/ zu verändern und ein Active-X-Steuerelement zu installieren. Habe das in VM reproduziert und überprüft.
Nur ein Beispiel:

http://imageshack.us


Es geht hier höchstwahrscheinlich nicht um Malware...aber allein die Vorstellung, dass sich beim Ansehen/Öffnen der Mail automatisch Dinge tun, die ich sonst nicht erkennen kann, macht mich stutzig. Werde das Ganze heute noch einmal genauer betrachten...was hier genau passiert.


Grüße
Nightwatch

Geschrieben von: hypnosekroete 11.09.2008, 11:51

Meinste nicht, das da einfach das Zertifikat/die digitale Signatur in der Registrierung registriert wird?

Edit: Über den Sinn der Meldung kann man sich natürlich streiten, wenn der Schlüssel nicht genannt wird (-> Details-Button/Protokollfunktion?) und auch "Systemregistrierung oder Systemstart" ist doch ziemlich nichtssagend, denn die Reg reguliert einerseits wesentlich mehr als nur den Systemstart (bzw. die mit dem System gestarteten Programme) und der Systemstart wird durch mehr Dinge als die Reg beeinflusst.

Geschrieben von: Solution-Design 11.09.2008, 12:43

DeepGuard, der perfekte Nervösmacher?

Unter den im Postfach schlummernden 4.000 Spam-Emails werden zwar einige insbesondere von Kaspersky als *sehr böse* erkannt, aber passieren tut nüscht. Erst recht nicht mit Outlooks Standardeinstellungen. Würde diese obige Meldung jetzt auch nicht überbewerten.

Geschrieben von: Nightwatch 11.09.2008, 18:09

Das stimmt. Die Details zum genauen Schlüssel bzw. der Systemänderung lassen sich ausführlich in der Option "Details" begutachten (s. unten am Bild). Hätte ich vielleicht mal lieber einen Screenshot davon gemacht. Hier zu sehen ist nur der Hauptbildschirm, der auf ein Ereignis aufmerksam macht.
Ja. Das Digitale Zertifikat wird in die Registrierung geschrieben. Dazu kommt ein Active-X-Steuerelement, welches bei weiterer Überprüfung (durch das Anwählen in der Mail) zum Transfer zwischen Website und PC benötigt wird.




Der Vorgang wird vom Deepguard auf der Skala mit 0 % (von 100=böswillig) eingestuft. In Standard-Einstellung hätte es also gar nichts gesagt. Meine Einstellung sind auf maximal: Es soll mir jede Änderungen sagen, die es erkennt.
Mir ging es im Allgemeinen darum, dass ich es wichtig finde, dass man so etwas bemerkt. Digitale Signatur und Active-X hin und her...aber ein Einfallstor für böswillig gemeinte Dinge könnte es allemal sein. Und ich war geschockt, dass es ohne Doppelklick oder manuelle Ansteuerung passiert ist. Also nicht jede Infektion muss man sich zwangsläufig selbst installieren .


Grüße
Nightwatch