{"id":260945,"date":"2021-12-30T00:06:00","date_gmt":"2021-12-29T23:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260945"},"modified":"2024-10-02T12:48:15","modified_gmt":"2024-10-02T10:48:15","slug":"sophos-patzt-bei-malware-samples-support-kontaktmglichkeiten-miserabel","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/30\/sophos-patzt-bei-malware-samples-support-kontaktmglichkeiten-miserabel\/","title":{"rendered":"Sophos patzt bei Malware-Samples, Support-Kontaktm&ouml;glichkeiten miserabel"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=22726\" target=\"_blank\" rel=\"noopener\">English<\/a>]Eigentlich sollten die Hersteller von Antivirus-L\u00f6sungen ja froh sein, wenn aufmerksame Nutzer Malware-Beispiele, die bisher von deren Scan-Engines nicht erkannt werden, einreichen. Speziell, wenn bekannt ist, dass es ein Schadprogramm ist, w\u00e4re schnelle Reaktion angebracht. Ein Administrator hat mir vor Weihnachten einen Fall per E-Mail geschildert, der zumindest bei diesem Vorgang Zweifel aufkommen l\u00e4sst, ob es sinnvoll ist, Samples einzureichen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/70fbed8424224b1a8c7657694bcb2c12\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Michael U. ist als Administrator unterwegs und ist k\u00fcrzlich auf eine sch\u00e4dliche Software gesto\u00dfen, die von seinen Sophos-Virenscannern nicht erkannt wurde. Der normale Mensch denkt \"ich reiche die Datei bei deren Support ein, die schauen dr\u00fcber und nehmen dies in die Virensignaturen auf\". Aber weit gefehlt, wie Michael mir per Mail am 23.12.2021 schrieb:<\/p>\n<blockquote><p>&#8230; als flei\u00dfiger Leser deines Blogs kenne ich ja doch so die eine oder andere Geschichte, doch diesmal ist mir selbst folgendes wiederfahren.<\/p>\n<p>Ich hatte 2021-10-19 ein Virus Sample an Sophos geschickt welches noch nicht von deren Scanner erkannt wurde. Statt das dieses Sample analysiert und in deren Datenbank aufgenommen wurde, hat Sophos aus irgend einem Grund von selbst ein Support Ticket er\u00f6ffnet.<\/p><\/blockquote>\n<p>Mir liegt der Mail-Verkehr des Sophos-Supports vor, die auf die Einreichung des Malware-Samples mit der Er\u00f6ffnung eines Tickets reagierten, aber nichts weiter unternahmen.<\/p>\n<blockquote>\n<blockquote><p>Hi Michael,<\/p>\n<p>Submitted file is malicious ppt file<br \/>\nPPT file having macro which try to connect url<\/p>\n<p>Detection add \" Troj\/PptDl-IQ\"<br \/>\nDetection will publish in next alert<\/p>\n<p>Thank you for contacting Sophos.<\/p><\/blockquote>\n<\/blockquote>\n<p>Erst nachdem Michael mehrfach nachhakte, kam dann irgendwann obige Mail, in der anerkannt wurde , dass es sich um ein sch\u00e4dliches PowerPoint-Dokument mit einem Trojaner handelt. Dazu schrieb mir Michael:<\/p>\n<blockquote><p>Schlussendlich hat es fast eine Woche gedauert, bis diese Malware dann vom Sophos Scanner erkannt wurde.<\/p>\n<p>Eine sehr lange Zeit wie ich finde, denn heute kann sich Malware ja rasend schnell verbreiten und viel Schaden anrichten, wenn diese nicht von den entsprechenden Antiviren Programmen erkannt wird.<\/p>\n<p>Damals hat mir Sophos erkl\u00e4rt (\u201edue to an internal issue, submission team was not able to accept samples from their end.\"), dass es einen internen Fehler gab und deswegen das Sample nicht verarbeitet wurde. So weit so gut, Fehler passieren und wenn diese gefixt werden und das Problem in Zukunft nicht mehr auftritt dann ist ja alles in Ordnung.<\/p>\n<p>Doch leider scheint dies nach wie vor der Fall zu sein, denn am Montag dieser Woche hatte ich erneut zwei Samples mit potentieller Malware an Sophos \u00fcbermittelt, welche bis heute (Donnerstag) noch nicht von Sophos analysiert wurde.<\/p>\n<p>Auf das alte Support Ticket kann man nicht antworten (Warum wird dieses eigentlich nicht einfach automatisch wieder ge\u00f6ffnet?) und ein neues via <em>support@sophos.com<\/em> zu er\u00f6ffnen ist ebenfalls nicht m\u00f6glich.<\/p>\n<p>In dem ersten automatischen Antwort-Email werde auf  verwiesen, doch dort kann ich mich nicht anmelden, obwohl ich als Sophos Kunde einen Sophos Account habe. Ich musste mich dort dann neu registrierten und warte nun seit dem darauf, dass mich jemand freischaltet.<\/p>\n<p>Im Moment habe ich also keine M\u00f6glichkeit eine schriftliche Anfrage an Sophos zu richten. Eigentlich sollte Sophos froh sein, wenn ein aufmerksamer Admin ihnen gef\u00e4hrliche Samples \u00fcbermittelt und diese so schnell als m\u00f6glich analysieren und in ihre Datenbank aufnehmen. Stattdessen machen sie es einem zus\u00e4tzlich auch noch besonders schwer mit Sophos in Kontakt zu treten.<\/p>\n<p>Selbst der frei Antiviren Scanner von Microsoft erkennt diese beiden Files (<a href=\"https:\/\/www.virustotal.com\/gui\/file\/80ee1a88d8b77c88fe67e6b7a3f94aee16e387093582898299f3aa9de257d8f0?nocache=1\" target=\"_blank\" rel=\"noopener\">hier<\/a> und <a href=\"https:\/\/www.virustotal.com\/gui\/file\/773ea3dfd17d017c71dc3ef9a611506b28acf8f5f5793b11cba1647858b65cbe?nocache=1\" target=\"_blank\" rel=\"noopener\">hier<\/a>) inzwischen schon. Ich frage mich wirklich, was eine \u201eprofessionelle\" Antiviren L\u00f6sung, welche ja gar nicht so wenig Geld kostet, f\u00fcr einen Vorteil, abgesehen von der zentralen Verwaltung, gegen\u00fcber dem Scanner von Microsoft hat.<\/p><\/blockquote>\n<p>Michael meint dazu: <em>Dass deren Support nicht einfach via E-Mail erreichbar ist und man dort seinen Unmut dann nicht kundtun kann frustet einen besonders.<\/em> Danke an Michael f\u00fcr die Information. Frage in die Runde: Gibt es \u00e4hnliche Erfahrungen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Eigentlich sollten die Hersteller von Antivirus-L\u00f6sungen ja froh sein, wenn aufmerksame Nutzer Malware-Beispiele, die bisher von deren Scan-Engines nicht erkannt werden, einreichen. Speziell, wenn bekannt ist, dass es ein Schadprogramm ist, w\u00e4re schnelle Reaktion angebracht. Ein Administrator hat mir vor &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/30\/sophos-patzt-bei-malware-samples-support-kontaktmglichkeiten-miserabel\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4785,4328],"class_list":["post-260945","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-antivirus","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260945","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260945"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260945\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260945"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260945"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260945"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}