Entwürfe werden nachts erstellt

[ShioN 0]

Hallo,

 

ich hoffe das gehört hier hin. Wir benutzen Exchange 2016.

 

Nun ist schon 3 Benutzern bei uns aufgefallen, dass bei ihnen zwischen 1 und 3 Uhr nachts Entwürfe erstellt werden, diese bestehen aus wirren Buchstaben und Zahlen in Betreff und mit dem Text "Hello darkness my old friend".

 

Habt ihr sowas schonmal gehört?

Ist das ein Virus? Was kann man dagegen machen?

[djmaker 95]

Was sagt das SMTP-log für den Mailversand auf dem Eschange Server bzw. eventuell der Ordner gesendete Objekte in Outlook? Habt hier schon mal geschaut ob ihr auf einer blacklist steht? www.mxtoolbox.com

[ShioN 0]

Blacklist Check Ergebnisse:

Failed:
                        AntiCaptcha.NET IPv4
                        PowerWeb DNSBL
                        The Day Old Bread List (aka DOB)
                        SurGATE Reputation Network (SRN)
                        PSBL whitelist

Blacklisted:
                        dnsbl.isx.fr
                        JustSpam.org
                        Polspam RHSBL
                        SenderScore Blacklist
                        SenderScore Reputationlist

Quelle:
                        https://multirbl.valli.org/
 

Wir haben bis jetzt noch keine Rückmeldung zu gesendeten Objekten bekommen., ich denke wir werden mal eine Rundmail rumschicken. Bis jetzt waren es nur die Entwürfe. 

Die Entwürfe sind fast alle an die Eigene Email adressiert.

[winmadness 79]

vor 10 Minuten schrieb ShioN:

Blacklisted:
                        dnsbl.isx.fr
                        JustSpam.org
                        Polspam RHSBL
                        SenderScore Blacklist
                        SenderScore Reputationlist

Dein Mail Server steht auf 5 Blacklists und es werden "komische" Entwurfs-EMail erstellt. Und Du gehst weiter davon aus "es waren nur Entwürfe"? Lade mal auf den Exchange Server und den betroffenen Clients malwarbytes und lasse mal einen Scan laufen. Welchen Virenscanner habt Ihr im Einsatz. Evtl. einen Profi für "Virenbeseitigung" engagieren.

Die Frage sollte Dir weitere Anhaltspunkte geben:

vor 23 Minuten schrieb djmaker:

Was sagt das SMTP-log für den Mailversand auf dem Eschange Server bzw. eventuell der Ordner gesendete Objekte in Outlook?

 

[ShioN 0]

Ich gehe nicht unbedingt davon aus, dass es nur entwürfe waren. Aber es wurden uns bisher nur Entwürfe gemeldet. Außerdem haben wir den Blacklist-Check am Montag gemacht (aus anderen Gründen) und die ersten Entwürfe wurden und Mittwoch gemeldet. Ich werde den Log definitiv einmal überprüfen. Danke für den Tipp. 

Ja wir haben "Profis" dafür, aber die selben "Profis" lassen regelmäßig unsere Antiviren-Datenbanken auf alten Ständen, was unteranderem ein Grund dafür ist, dass ich annehme das es sich um einen Virus handelt (Ein Wechsel ist in Planung). Welches Programm genau drauf läuft kann ich gerade nicht beantworten, werde ich aber schreiben sobald ich die Info bekomme.

[winmadness 79]

vor 9 Minuten schrieb ShioN:

Blacklist-Check am Montag

Dann würde ich jetzt noch mal den Blacklist Check machen. Und wenn das Problem bereits am Montag bestand, was wurde seitdem unternommen?

[ShioN 0]

Blacklist-Check sieht gleich aus. Montag ging es um ein anderes Problem, was sich von selbst gelöst hat. Das eigentliche Problem besteht wie gesagt seit Mittwoch, dagegen wurde noch nichts gemacht, da es nur um einen Nutzer ging der es bemerkt hat. Wir sind von einem Fehler ausgegangen, da die beiden Entwürfe nur wirrer Text waren. Heute kamen aber noch zwei Meldungen rein und das war der Auslöser für den Post.

 

[cj_berlin 1.315]

Moin,

jetzt mal aber kurz back to basics:

• Exchange ist gepatcht - CU21 und Juli-SU sind eingespielt?
• Download Domain für OWA ist eingerichtet?
• Detection Script aus dem Hafnium-Hack ausgeführt und findet nichts?

[ShioN 0]

Exchange ist auf der Aktuellsten Version.

Meinst du eine Subdomain? Dann ja.

Heute noch nicht, aber ja.

[winmadness 79]

Auf reddit beschreibt einer das gleiche Problem (letzter Beitrag von led352). Falls der Post nicht von Dir bzw. von einem Kollegen stammt ist es evlt. eine hilfreiche Quelle.

[ShioN 0]

Das ist nicht von uns und trifft ziemlich gut auf unser Problem zu. Wie auch immer ich das bei meiner Google suche nicht gesehen/gefunden habe.

Danke 

 

[djmaker 95]

Und ihr habt bisher keinerlei Probleme Emails an externe Empfänger zu senden? Das würde mich sehr wundern. 

[ShioN 0]

Das war das Problem am Montag. Ging aber nach ca 1ner Std noch. Es scheint ja ein Problem zu sein was nicht nur uns betrifft. Ich hoffe wir können das Schnell lösen, wir werden uns mit Microsoft in Verbindung setzen. 

 

Außerdem geht am Montag eine Rundmail raus das alle rausschicken um bessere Rückmeldung zu erhalten.

[MurdocX 950]

Hallo ShioN,

 

wie man lesen kann, arbeitest du weiter daran das Problem zu lösen. Ich kann aus deinem letzten Post die "Beste Lösung" leider nicht finden. Könntest du diese nochmal für uns und andere Forenleser näher erläutern?

[winmadness 79]

vor 22 Stunden schrieb ShioN:

Es scheint ja ein Problem zu sein was nicht nur uns betrifft.

Richtig, eine Malware ist nicht wählerisch und auch nicht begrenzt in der Auswahl seiner Ziele. Weder die "Rundmail" noch Microsoft können die Malware von Deinem System beseitigen. Darum musst Du Dich schon selber kümmern.