Virus eingefangen - Wie am besten analysieren?

Hallo lieber oc.atler,

ein Arbeitskollege hat eine E-Mail und die darin befindliche .xlsb Datei geöffnet und sich damit wohl einen Trojaner eingefangen. Würde jetzt gerne rausfinden, was das Dinge vor hat, da es doch ein paar Minuten gedauert hat, bis der Computer vom Netzwerk entfernt wurde.

Was ich rausgefunden habe ist, dass 3 .ocx Dateien auf dem C Laufwerk hinterlegt wurden, allerdings weiß ich leider nicht genau, wie man die Dateien editiert/ansieht. Hab es mit Visual Studio getestet, was aber zu keinem Erfolg geführt hat.

In nem normalen Texteditor kommt 99% Kauderwelsch zurück und immer mal wieder Zertifikatsstellen (zB. Sectigo oder crl.comodoca ). Wenn ich die Dateien per regsvr32 registriere habe ich einige Minuten lang eine sehr hohe CPU Auslastung und dann ist wieder alles normal.

Der testweise installierte alternative Virenscanner (avira) hätte zwar die .xlsb als malware erkannt, aber die ocx oder andere dinge nicht mehr. die .xlsb hat bei virustotal folgende namen ausgespuckt: Trojan-Downloader.O97M.EncDoc (Ikarus) HEUR:Trojan.MSOffice.Generic (Kaspersky) und noch einige andere, aber ich denke, dass das eher generische Namen für einen Trojaner in einer Office Datei sind.

Es wäre für mich eben wichtig herauszufinden, ob das ein Trojaner ist, der versucht alles im Netz zu verschlüsseln, oder einer der "nur" den eigenen Rechner befällt.

Danke und LG

Das kann dir aus der Ferne niemand beantworten und auch aus der Nähe ist es schwer, aktuelle malware ist mehrstufig bzw. modular aufgebaut, anhand des droppers kann man nicht sagen was die tatsächliche payload ist bzw. sein soll. Diese wird mittlerweile meist verschlüsselt übertragen und befindet sich nur kurzzeitig und sich selbst abändernd auf dem jeweiligen System. Auch virtuelle Maschinen werden schon ziemlich zuverlässig erkannt und taugen zur Analyse wenig. Die OCX-Dateien zu dekompilieren ist eine Möglichkeit, aber ein großer Aufwand und am Ende hast du wahrscheinlich erst wieder Kauderwelsch der kaum zu durchschauen ist, weil du nur wenige Teile des Puzzles hast.

Du könntest versuchen einen abgeschotteten Rechner damit zu infizieren und mit Procmon zu schauen was im Hintergrund passiert.
Netzwerkseitig könntest du am switch ein port mirroring aktivieren und versuchen den traffic zu analysieren,
vielleicht kommst du so zu einer URL wo die malware liegt, bzw. siehst du so welche Ports abgefragt werden.

Wenn das ein handelsübliches crimeware kit war würde ich davon ausgehen, dass SMB auch abgeklopft wurde.
Wenn es einen lokalen Administrator mit dem gleichen Kennwort auf den Windows Kisten gibt, würde ich davon ausgehen, dass sie kompromittiert sind.