Gibt es ein Virenscanner Plugin für Thunderbird?

gross-umstaedter

Hallo,

die Beiträge über Virenscannen, Datenverlust, Inboxdatei usw. habe ich ausführlich gelesen.
Wenn unser GDATA Antivirenkit im Inbox Verzeichnis Viren, Würmer und Trojaner entdeckt, sehe ich darin zunächst mal kein Problem. Was können die Dinger schon anrichten, liegen sie doch innerhalb einer Textdatei, z.B. der Inbox.msf und können nicht ausgeführt werden.
Alles was bei Spam liegt kann man löschen und danach komprimieren, aber als Perfektionist hätte ich schon gerne auch die Trojaner, Würmer und Viren im Posteingang gefunden und gelöscht. Händisch nach Emails zu suchen, mit irgendwelchen Datenanhängen ist zeitintensiv und mühsam.

Gibt es irgend ein Plugin für Thunderbird, welches innerhalb der Verzeichnisse nach Viren, Würmern und Trojanern suchen kann?

rum

Hi,

Du kannst ja jetzt erst mal die (Kopien der) Dateien abscannen lassen, dann hast Du den derzeitigen Status sauber. Wenn Du in den Einstellungen unter Datenschutz dann die Option für den Virenscanner anhakst, werden Mails von TB erst mal in den temp Bereich verschoben, dort scannt dann ja der Scanner und erst dann landen sie in der MBox.
Wenn Du dem Scanner definitiv und zuverlässig sagen kannst, beim entdecken von Malware nur nachfragen, was zu tun ist, kannst Du auch das Profil scannen. Aber ich verlasse mich darauf nicht sondern gehe wie oben vor, obwohl F-Secure die Funktion anbietet. Alle paar Tage lasse ich eines meiner täglichen Backups einfach scannen und schau, was passiert. Bisher noch nie was.
Übrigens: das beim monatlichen Update von Windows mitgelieferte Malwaretool ist angeblich auch nicht ganz ohne..., also Vorsicht.

gross-umstaedter

Hallo rum,

was soll ich scannen lassen, die *.msf Dateien ?

Die Thunderbird Profile liegen bei uns auf einem Linux-Server.
Hier mal so ein typischer Virenfund von ClamAV:
/var/samba/Homes/hmeyer/Thunderbird/Profiles/ws32kl8r/Mail/Local Folders/Inbox: HTML.Pishing.Bank-1 FOUND

Oder:
/var/samba/Homes/sschmidt/Thunderbird/Profiles/er54cd3t.default/Mail/Local Folders/Postfach Stefan http://Schmidt.sbd/posteingang.sbd/Herbert Einstein: Trojan.Downloader.Small-1757 FOUND

Wie kann ich innerhalb Thunderbird diese Pishing Emails und Trojaner finden?

ClamAV zeigt bereits was gefunden wurde, wenn man jetzt noch komfortabel innerhalb Thunderbird nach den betroffenen Emails suchen könnte, wäre das die halbe Miete. Kennzeichnen, Löschen, Ordner komprimieren. Aber wie findet man die Malware?

rum

Schau Dir bitte mal dies an:
https://www.thunderbird-mail.de/wiki/Die_Datei…rz_erkl%C3%A4rt
https://www.thunderbird-mail.de/wiki/Das_Mbox-…C3%BCr_Probleme
Daraus kann man ersehen, dass die Maildateien die Dateien ohne Endung sind, die *.msf sind nur Indexdateien, allerdings enthalten sie ab TB 2.0.0.x auch die Schlagwortzuordnung.
Nach dem Löschen der *.msf werden sie von TB anhand der Maildateien neu erstellt.
Ich meinte schon, dass ich ab und zu einfach eine komplette Kopie des Profilverzeichnisses scanne. Denn es können ja vor zwei Wochen Viren/Trojaner "angeliefert worden sein, die der Scanner damals noch nicht kannte.
Man kann aus dem 2 Text oben aber auch ersehen, dass sich nicht einfach eine einzelne Mail mit dem Virenscanner aus der Datei rauslösen lässt. Wenn der Scanner also fündig wird, muss man versuchen die Mail in TB händisch zu lokalisieren und dann "Kennzeichnen, Löschen, Ordner komprimieren"

gross-umstaedter

Hallo rum,
danke für die Antwort.
Das mit den Thunderbird Dateien ist mir klar, eine Email gibt es nicht einzeln, außer ich speichere sie explizit in ein Verzeichnis, dann schon.

Email finden, löschen, Ordner komprimieren, hatte ich bereits geschrieben, so sollte man vorgehen.
Aber wie kann ich anhand der Ergebnisdatei des Virenscanners die infizierten Mails finden?
Gibt es irgendeinen Trick oder ein Plugin um verseuchte Emails innerhalb Thunderbird auf einfach Weise finden zu können?

Wie ein typischer Scanbericht aussieht hatte ich oben beschrieben.

rum

hi gross-umstaedter,

wüsste nicht wie, da der Scanner ja einfach die Datei an sich beanstandet. Für den Scanner ist die MBox das, was sie ist: eine Datei.
Aber der Fall wird selten auftreten, wenn Du die obige Vorgehensweise nutzt. Denn das Du heute den Virus von vor 2 Wochen findest, ist vermutlich selten.
Am sinnvollsten ist es ja, grundsätzlich alle Anhänge von den Mails abzutrennen und extra zu speichern. Dann kann man diesen Anhangspeicher scannen und da liegt wohl auch die größte Gefahr.
Im Fall des Falles kann man so vorgehen:
Erstelle in TB einen neuen lokalen Unterordner A und darin 2 weitere Unterunterordner A1 und A2.
Kopiere den betroffenen Mailordner (sagen wir B) in den Unterordner A. Markiere etwa die Hälfte der Mails und verschiebe sie in A1. Jetzt kannst Du den Ordner B und A1 scannen*) lassen. Einer von beiden enthält die Malware, sagen wir mal A1. Markiere wieder die ca. Hälfte der Mails, diesmal in A1 und verschiebe sie in A2. Scanne nun A1 und A2. Sagen wir, A2 hat den Virus, dann lösche die Mails in A1 und markiere die etwa Hälfte der Mails in A2 wieder und verschiebe sie in den gerade geleerten A1. Prüfe wieder, wir haben jetzt nur noch ein Achtel der Mails :wink: und so weiter. Maximal 10 Teilungen sind nötig. So finden auch einfache Programme in großen Dateien schnell das Richtige und so gehts auch beim Lexikon/Wörterbuch mit dem Finden recht flott.

Ja, ist umständlich und vielleicht hat ja jemand eine bessere Idee und ich sitz auf der Leitung. Aber ich habe das ganze nur ein Mal bei einem Kollegen machen müssen und wir haben hier auch einige TB Nutzer...

EDIT: *) bei Windows öffne ich dazu einfach den Win-Explorer und klicke auf die MBox-Datei im Profil>manuell scannen. Dann wird ja nur diese eine Datei gescannt.

Toolman

na ja, ich sag dazu nur: in welchen Fällen bekommt man eine verseuchte Mail?

- Ein Wurm oder Botnetz verschickt diese automatisch (95%)
- jemand der sich unwissend infiziert hat schickt dir eine Mail in der sich ein verseuchter Anhang befindet. (<1%) dazwischen liegen andere Konstellationen.

Die Warscheinlichkeit, dass du jetzt eine reelle Mail bekommst, von jemanden der sich infiziert hat, ist ziemlich gering. In der Regel bist du im Adressbuch des armen Opfers und die Viren sind in der Regel so angelegt sich als erstes an alle Empfänger zu schicken und nicht erst zu warten bis ihr Opfer auf diese Idee kommt. Spätestens dann ist man ja vorgewarnt. Also eine richtige Mail mit Bezug zum Anhang der verseucht ist und ansonsten normaler Mail ist mir noch nie unter gekommen und ich habe seit 1993 eine Mailadresse. Daher sollte sich das alleine schon mit Brain 1.0 realisieren lassen. Und für die 95% der Fälle dass ein Wurm dir eine Mail wie (aktuell aus dem Spam-Ordner):

Code

Betreff: Just to say hi
Anhang: ForwardedMessage.eml (mit wahrscheinlich den neusten Tipps für anspruchsloses HTML-Virendesign)

muss man schon ziemlich blauäugig sein um diesen Mailanhang von einer Mailadresse von der man noch nie etwas gehört hat, zu öffnen. Aber es werden ja sogar exe-Dateien die nie bestellte Kamera-Rechnungen enthalten göffnet usw.

Wenn trotz Löschen dieser aktuellen Ergüsse aus meinem Spam-Ordner der Virenscanner etwas finden sollte (natürlich nur im Backup scannen), so müsstest du noch den entsprechenden Ordner komprimieren da beim Löschen der Mail diese ja nur als gelöscht markiert wird und daher noch in der Datei vorhanden ist.

schöne Grüße

Toolman

Gibt es ein Virenscanner Plugin für Thunderbird?

Community-Bot 3. September 2024 um 19:09

Thunderbird 139.0.1 veröffentlicht

Thunderbird 128.11.0 ESR veröffentlicht