Computerbeveiliging - Hoe je bad guys buiten de deur houdt

TrojanDownloader in mailbox?

20-05-2016, 10:47 door [Account Verwijderd], 12 reacties
De laatste tijd heb ik altijd het volgende probleem: wanneer ik een scan uitvoer met Eset dan worden er bijna altijd virussen gevonden in de profielmap van mijn email client.

Ik gebruik Windows 10, mijn mailclient is Postbox (Thunderbird afgeleide), ik gebruik het IMAP protocol voor mijn mail maar heb ook de optie "maak inbox geschikt voor offline gebruik" ingeschakeld. Dit vanwege het feit dat ik dan gemakkelijk een backup kan maken van mijn mail en omdat Postbox sneller werkt als de mail ook offline staat.

Ik krijg (natuurlijk) regelmatig spam binnen, soms ook met ZIPP bijlagen, en deze open ik natuurlijk nooit. Ik verwijder deze mails direct, en daarom verbaast het mij zo dat Eset toch zo vaak virussen vindt in de profielmap van Postbox. Ik ben in de veronderstelling dat wanneer ik spammail met bijlagen verwijder in Postbox dat deze dan ook direct worden verwijderd in mijn profielmap, maar blijkbaar is dat niet het geval?.

Een voorbeeld van een virusmelding van vandaag, typisch voor de meldingen van Eset de laatste periode:

AppData\Roaming\Postbox\Profiles\xxxx.default\ImapMail\imap.byte.nl\IBOX.sbd\Trash
58,8MB VBA/TRojanDownloader.Agent.BCL trojaans paard

Ik vraag mij nu dus af of het wellicht niet beter is de mail niet meer offline te bewaren? Wellicht heeft dit ook iets te maken met de serverinstellingen van mijn webhost? Mijn mail draait via een NL webhost (Byte) waar ik ook met website host.
Reacties (12)
20-05-2016, 10:57 door Anoniem
Leeg je ook je deleted items?

Maar het kan dan ook zijn, dat het item nog wel bestaat, maar een vinkje heeft, dat het item verwijderd is. Jij ziet het dan niet meer meer. Maar voor de applicatie is het er nog wel.
20-05-2016, 11:18 door Erik van Straten
Meestal verwijdert Shift-Delete (Shift knop ingedrukt houden terwijl je de delete knop op je toetsenbord indrukt), bij 1 of meer geselecteerde e-mails, die e-mails volledig - d.w.z. ze worden dan niet naar de "vuilnisbak" (trash) map van de mailclient verplaatst.

Als zo'n toetsencombinatie niet werkt kun je de instellingen van Postbox vermoedelijk zo wijzigen dat "wissen" (detele) van e-mails deze altijd meteen volledig verwijdert. Er wordt dan nooit meer gebruik gemaakt van de vuilnisbak in jouw e-mail programma, je moet dan natuurlijk wel voorzichtiger zijn als je e-mails verwijdert waar je spijt van kunt krijgen. Anderszijds zijn trashcans in mijn ervaring onbetrouwbaar (zeker die in Windows, die ophoudt bestanden aan te nemen als deze een bepaald vulniveau heeft bereikt - zonder dat je dit ergens aan ziet, en op netwerkdrives ontbreekt deze functionaliteit vaak volledig). Zo'n vuilnisbak kan je een keer redden, maar hou deze dan wel zo leeg mogelijk (en denk nooit: oh, dat zit nog wel in de vuilnisbak).

Terzijde, dat virusscanners in eerder verwijderd e-mails (vaak na 1 of meer dagen) nog een virus zien (niet op het moment van wissen) geeft al aan hoe beperkt virusscanners van waarde zijn om jouw systeem te beschermen.
20-05-2016, 11:35 door [Account Verwijderd]
Erik, als ik mails verwijder dan worden die in mijn prullenbak geplaatst. Echter, ik heb de gewoonte de prullenbak ook direct leeg te gooien. Daar kan het dus niet aan liggen.
20-05-2016, 11:48 door Anoniem
In thunderbird wordt de inhoud van de profielmap pas opgeschoond als je Mappen comprimeren uitvoert.
Misschien is dat in postbox ook zo.

Je moet dan wel online zijn.

Het kan ook dat dit afhankelijk van instellingen automatish gebeurt maar dan wel pas als een bepaalde grens overschreden wordt.
20-05-2016, 12:00 door Erik van Straten - Bijgewerkt: 20-05-2016, 12:01
Door opti: Erik, als ik mails verwijder dan worden die in mijn prullenbak geplaatst. Echter, ik heb de gewoonte de prullenbak ook direct leeg te gooien. Daar kan het dus niet aan liggen.
In Thunderbird (ik gebruik de Engelstalig versie) zie ik, als ik rechts-klik op de "Trash" map, in het popup menu "Compact".

Ik raad je aan dat te gebruiken na het legen van de vuilnisbak, dan wordt de file zeker leeggemaakt.

Ik heb net zelf even getest, het commando "Empty trash" maakte de file ook 0 bytes lang, maar als er, om de een of andere reden, toch nog iets in blijft staan, hoeft dat niet.

Dat doet me eraan denken: koppel je PC los van het netwerk (of zet WiFi uit), schakel je virusscanner uit, leeg de vuilnisbak en doe een "Compact", en zet dan de virusscanner en daarna het netwerk weer aan.

Ik vermoed namelijk dat jouw virusscanner een lock houdt op de file die de trash map vertegenwoordigt, waardoor Postbox deze niet echt kan leegmaken.
20-05-2016, 12:57 door [Account Verwijderd]
Erik, rechter muisklik op de prullenbak in Postbox geeft de optie 'comprimeren". Bedoel je dat?

Naast comprimeren is er ook een plugin beschikbaar genaamd "Vacuum Postbox". Het verschil tussen vacuum en comprimeren is mijzelf niet duidelijk, misschien weet jij dat?
20-05-2016, 13:21 door Erik van Straten - Bijgewerkt: 20-05-2016, 13:22
20-05-2016, 12:57 door opti: Erik, rechter muisklik op de prullenbak in Postbox geeft de optie 'comprimeren". Bedoel je dat?

Naast comprimeren is er ook een plugin beschikbaar genaamd "Vacuum Postbox". Het verschil tussen vacuum en comprimeren is mijzelf niet duidelijk, misschien weet jij dat?
Ik heb geen idee wat het verschil is.

Opruimacties zijn echter wel zinvol, want realiseer je dat een willekeurige map met e-mails (niet alleen trash!), feitelijk een bestand is, met daarin meerdere e-mails direct achter elkaar en elk voorzien van een code zodat jouw e-mail programma elke individuele mail terug kan vinden. Zo'n bestand ziet er bijv. uit als volgt (ga er even vanuit dat er 4 mailtjes in staan):

========== 1KB voor het eerste mailtje
==================== 2KB voor het tweede mailtje
============ 1,2KB voor het derde mailtje
========== 1KB voor het vierde mailtje

Stel je gooit het 2e mailtje weg en slaat een nieuwe van 1,5KB op in die map. Dan zijn er twee mogelijkheden:

1):
========== 1KB voor het eerste mailtje
=============== 1,5KB voor het nieuwe, opgeslagen als tweede, mailtje
----- 0,5KB ongebruikt (restant van het oude, verwijderde, tweede mailtje)
============ 1,2KB voor het derde mailtje
========== 1KB voor het vierde mailtje

2):
========== 1KB voor het eerste mailtje
-------------------- 2KB ongebruikt (hier stond het tweede mailtje)
============ 1,2KB voor het tweede (was derde) mailtje
========== 1KB voor het derde (was vierde) mailtje
=============== 1,5KB voor het nieuwe, opgeslagen als vierde, mailtje

Geen van beide situaties is ideaal. Met ofwel "Comprimeren" ("Compact" in Thunderbird) ofwel "Vacuum" verwijder je alle ongebruikte ruimte uit zo'n bestand, redelijk vergelijkbaar met het defragmenteren van een partitie op een harde schijf.

Het verschil met een partitie is dat daarop bestanden uit meerdere blokken bestaan die niet aaneengesloten op de partitie hoeven te staan; bij Thunderbird (en naar ik aanneem ook bij Postbox) wordt elke individuele e-mail als een "record" in zo'n mapbestand beschouwd en is ondeelbaar (dus altijd aaneengesloten).

Thunderbird gebruikt (by default) 2 bestanden per map: 1 met de mapnaam (voor zover daar geen tekens in voorkomen die niet mogen worden gebruikt in bestandsnamen) en 1 "mapnaam.msf" dat een index (inhoudsopgave zeg maar) bevat van welke mail waar in de mapfile staat. Beide bestanden kun je overigens gewoon in notepad.exe (kladblok) openen. Denk erom dat je ze niet wijzigt (beter: maak er kopiën van die je bestudeert - d.w.z. als je dat leuk vindt).

Het zou kunnen dat "Vacuum" de mails in dezelfde volgorde in de mapfile zet als de default door jou gekozen sorteervolgorde, meestal is dat op datum en tijd. (Persoonlijk erger ik me er groen en geel aan dat Thunderbird by default de oudste mails bovenaan zet - ik moet maar eens kijken of daar geen instelling voor bestaat om dat te veranderen, iets dat ik elke keer handmatig aanpas nadat ik een nieuwe map gemaakt heb).
20-05-2016, 14:19 door Anoniem
In het linkje in bovenstaande post -> ''Trash''

Het lijkt me vrij duidelijk hoe het komt dat je dit detecteert, wanneer je je trashcan niet leegt.
20-05-2016, 18:30 door Erik van Straten
20-05-2016, 14:19 door Anoniem: In het linkje in bovenstaande post -> ''Trash''

Het lijkt me vrij duidelijk hoe het komt dat je dit detecteert, wanneer je je trashcan niet leegt.
Spiff heeft gelijk [1], mensen roepen maar wat zonder het fatsoen te hebben eerst reeds beantwoorde vragen in de thread te lezen [2].

Jammer ook dat de redactie dit soort reacties door de moderatie laat glippen. Immers juist mensen die (laf) anoniem reageren, komen ermee weg als ze nutteloze en discussieverstikkende reacties posten.

[1] Onderaan bijdrage https://www.security.nl/posting/471135/Windows+7+update+rollup#posting471547

[2] https://www.security.nl/posting/471522/TrojanDownloader+in+mailbox%3F#posting471543, daaruit:
20-05-2016, 11:35 door opti (de TS): Erik, als ik mails verwijder dan worden die in mijn prullenbak geplaatst. Echter, ik heb de gewoonte de prullenbak ook direct leeg te gooien. Daar kan het dus niet aan liggen.
20-05-2016, 18:37 door [Account Verwijderd]
[Verwijderd]
20-05-2016, 18:49 door Erik van Straten
20-05-2016, 18:37 Door Taxus: iets wat je in de recycle bin gooit wordt ook niet verwijderd (na leegmaken). Het bestand wordt alleen ontoegankelijk gemaakt. Wil je wel goed leegmaken, gebruik dan ccleaner met de optie "bestanden overschrijven" (1x is genoeg). Dan wordt alles in de prullenbak echt afgeveegd (digitaal vernietigd heet dat)..

LEZEN ANYONE?
31-05-2016, 18:24 door [Account Verwijderd]
Ondertussen een methode ontdekt om de trash, lokaal op mijn systeem, echt te legen... namelijk gewoon het bestand "Trash" verwijderen uit de profielmap! Wel eerst even kijken of er niets belangrijks in de prullenbak staat natuurlijk.

Na een nieuw mailtje in de prullenbak wordt het bestand Trash weer automatisch opnieuw aangemaakt, je hebt dan een nieuw schoon trash bestandje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.