Wie teste ich, ob rspamd mit den OLEtools funktioniert

Frank Fiene ffiene at veka.com
Do Nov 28 16:00:27 CET 2019 

Sehr schön.

Mit git ging das nicht, unter thirdparty fehlt so einiges.


Ich habe das jetzt mit 

pip3 install -U https://github.com/decalage2/oletools/archive/master.zip <https://github.com/decalage2/oletools/archive/master.zip>

Wie auf der Homepage dokumentiert installiert und dann wird AutoExec erkannt.
Muss ich eigentlich olefy durchstarten oder werden die oletools zur Laufzeit gezogen?


Danke!

> Am 28.11.2019 um 11:08 schrieb Carsten Rosenberg <cr at ncxs.de>:
> 
> Hallo Frank,
> 
> danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec
> drin. die aktuelle Git Version von oletools hat das schon integriert:
> 
> +----------+----------------+-----------------------------------------+
> |Type      |Keyword         |Description                              |
> +----------+----------------+-----------------------------------------+
> |AutoExec  |Image1_Click    |Runs when the file is opened and ActiveX |
> |          |                |objects trigger events                   |
> |AutoExec  |Image1_MouseMove|Runs when the file is opened and ActiveX |
>    |          |                |objects trigger events                   |
> |Suspicious|Open            |May open a file                          |
> |Suspicious|Output          |May write to a file (if combined with Open)  |
> |Suspicious|Print #         |May write to a file (if combined with Open)  |
> |Suspicious|MkDir           |May create a directory                   |
> |Suspicious|CreateObject    |May create an OLE object                 |
> |Suspicious|CallByName      |May attempt to obfuscate malicious function  |
> |          |                |calls                                     |
> |Suspicious|Chr             |May attempt to obfuscate specific strings|
> |          |                |(use option --deobf to deobfuscate)      |
> |Suspicious|VBA obfuscated  |VBA string expressions were detected, may be |
> |          |Strings         |used to obfuscate strings (option --decode to|
> |          |                |see all)
> +----------+--------------------+-------------------------------------+
> 
> Die git Version kannst du so benutzen:
> 
> git clone --recurse-submodules https://github.com/decalage2/oletools.git
> /opt/oletools
> 
> und in /etc/olefy.conf:
> 
> OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py
> 
> VG Carsten
> 
> On 27.11.19 12:03, Frank Fiene wrote:
>> Wo soll ich sie dir hinlegen?
>> 
>> Aktuelle Virenpattern erkennen die Datei schon als Virus.
>> 
>> 
>> Viele Grüße! 

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191128/c1d0ac65/attachment-0001.html>

Mehr Informationen über die Mailingliste Postfixbuch-users