Bisher habe ich eingehende Mails mit Links und Dateianhang die schon weitem nach Virus aussahen immer sofort gelöscht.
Letzte Woche haben wir dieses Vorgehen nun geändert. Ein Kunde hatte eine direkte Mail bekommen (mit Namen und allem) von einem seiner Lieferanten (keine Telekrechnung oder soetwas, schon etwas spezielles). Hat natürlich draufgeklickt und die EXE ausgeführt. Das installierte Kaspersky hat nichts gemacht und die Maschine war verseucht. Ein Check bei Virus Total mit der Datei brachte folgendes Ergebnis: 4/54 AntiViren Programmen haben ihn nicht erkannt (ja, da kommt wieder der Schlangenöl Gedanke). Fast keiner (bis auf DrWeb und Sophos) der Namenhaften Hersteller (die Namen der anderen beiden sagten mir nichts) hat diesen erkannt. Wir haben ihn zu ClamAV (die in nach 3 Tagen immer noch nicht erkannten) und Kaspersky eingesandt. Bei Kaspersky wurde er innerhalb einer Stunde analysiert und mit aufgenommen, bei ClamAV fehlen anscheinend die Ressourcen.
Zwei Tage später kam der nächste Virus der wieder nur von 4/54 erkannt wurde (wieder sophos darunter). Dieser wurde wieder eingesandt.
Heute:
Der erste, wieder 4/54 (darunter sophos), wieder eingesandt. Und der zweite von heute, 2/54 (nicht mal Sophos kannte ihn) wurde nun allen bekannten Herstellern zugesandt die eine Email Adresse für den Fall haben. Das werden wir nun in ein Webinterface einbauen um hoffentlich einen kleinen Dienst an der Allgemeinheit (und auch unseren Kunden) zu leisten.