• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

XSLX-Dateien werden vermehrt vom Virenscanner fälschlicherweise erkannt

mabu

Well-known member
Hallo.

Ich bin mir nicht sicher, ob ich hier etwas übersehe. Daher schildere ich mal unser aktuelles Problem.

Auf der NSP-GW-Rolle läuft als lokaler Virenscanner der im Windows Server enthaltene Windows Defender. Wird automatisch im Hintergrund aktualisiert.

Vor einigen Wochen hatten wir erstmalig das Problem, dass häufig eingehende Mails mit XLSX-Dateien abgewiesen worden sind - Grund war, dass der lokale VIrenscanner in der Datei Malware erkannt hat. Sehe ich auf dem Server auch in Eventlogs für Windows Defender.

Gab einige Rückfragen. Meist wurde Mail ein paar Stunden später dann auch wieder angenommen.

Dann hatten wir zwischenzeitlich da mal Ruhe und heute hat es ein paar ausgehende Mails getroffen, in denen xlsx-Datei enthalten war.

Ich habe mir die xlsx-Datei einmal angeschaut und vorab einmal durch den von uns auf Clients genutzten Virenscanner geschickt und dann auch bei VirusTotal hochgeladen (waren zum Glück keine Personendaten enthalten). Und alles sauber.

Also ein false positive auf der GW-Rolle. Kann vorkommen, das ist mir klar.

Nun bin ich mir nicht sicher, ob in einer xlsx letztlich wirklich Schadcode enthalten sein kann. Finde auch keine 100% Antwort. Worauf will ich damit hinaus?

Haltet Ihr es für sehr riskant, wenn ich dem lokalen Virenscanner *.xslx als Ausnahme mitgebe? Ich tendiere deutlich dahin, es nicht zu tun. Cyren läuft aber auch noch bei der Erkennung mit.

Somit erhöhe ich damit das Risiko vielleicht gar nicht.

Was meint Ihr?
 
Hi,

ich würde das auch nicht machen. Leider (oder Gott sei dank?) kann dir hier auch LoT nicht helfen!

Gruß
Christian
 
Ich würde es auch nicht machen. In XLSX selbst kann erstmal nichts wirklich gefährliches sein, außer einer eingebetteten XLS Datei. Die dann wiederum gefährlich sein kann.

Als Tipp für den Defender: Man kann das Updateintervall mittels PowerShell auf 1 Stunde herunterschrauben.
Set-MpPreference -SignatureUpdateInterval 1

Dann ist die Gefahr von FPs etwas gebannt.

Gruß Stefan
 
Zurück
Oben