02.02.2021, 12:16
Hallo,
mit VBA kann bekanntlich eine Shell geöffnet werden, typischerweise mit CreateObject("WScript.Shell"). Ich vermute, dass damit C:\Windows\System32\wscript.exe aufgerufen wird.
Ein Virus (Remcos von gestern) nutzte einen anderen Weg:
Die Suchmaschine verband die CLSID mit einem ActiveX-Object aus dem \system32\-Ordner.
Frage:
Kann man prüfen, ob dieses ActiveX-Object auch von üblicher legitimer Software angeprochen wird?
Falls nein, könnte daraus ein Indikator für diese Malware konstruiert werden?
mfg
mit VBA kann bekanntlich eine Shell geöffnet werden, typischerweise mit CreateObject("WScript.Shell"). Ich vermute, dass damit C:\Windows\System32\wscript.exe aufgerufen wird.
Ein Virus (Remcos von gestern) nutzte einen anderen Weg:
Code:
set WSH = "NEW: hier eine CLSID"Die Suchmaschine verband die CLSID mit einem ActiveX-Object aus dem \system32\-Ordner.
Frage:
Kann man prüfen, ob dieses ActiveX-Object auch von üblicher legitimer Software angeprochen wird?
Falls nein, könnte daraus ein Indikator für diese Malware konstruiert werden?
mfg