Wir haben ein Worddokument über unsere Stadt und den Kanton, welches schon lange auf der entsprechenden Stufe in der Primarschule im Einsatz ist. Neu gab es aber eine Meldung von einem Malwarebefall: Trojan:HTML/Redirector.RQV!MTB

Nachdem eine Überprüfung auf https://www.virustotal.com/ nichts gefunden hatte, wollte ich das noch genauer überprüfen, da es sich um ein grosses Dokument handelt, dessen Erstellung viel Arbeitszeit benötigte.

In einer virtuellen Maschine konnte man sehen, dass Bilder mit dem Link zur Herkunft in das Dokument eingefügt wurden. Wenn man der virtuellen Maschine, die Verbindung ins Internet untersagte, fand auch Defender nichts. Sobald die Verbindung vorhanden war, blockierte Defender diverse Bilddateien im Ordner %LocalAppData%\Microsoft\Windows\INetCache\Content.MSO. Ich habe dann zuerst versucht, die Links von den Bildern manuell zu entfernen, was aber nichts genützt hat. Auch in einem virtuellen Ubuntu konnte ich die Links nicht erfolgreich mit LibreOffice entfernen. Copilot hat mich dann auf den richtigen Weg gebracht: Zuerst ändert man die Dateiendung von .docx auf .zip. Nun kann man die Zip Datei öffnen und zum Ordner word/_rels wechseln. Dort die Datei document.xml.rels bearbeiten und alle Einträge mit einem „external“ löschen:

<Relationship Id="rId53" Type="http://..." Target="http://..." TargetMode="External"/>

Im Bild oben sieht man übrigens mit grosser Sicherheit den Auslöser der Meldung. Scheinbar wurden Bilder mit dem Link auf polizei-schweiz.ch eingebunden. Wenn man das Bild manuell öffnen möchte, wird man auf die Seite unfallmeldungen.ch weitergeleitet. Also ein Link der automatisch weitergeleitet wird: daher wohl das Redirector in der Bezeichnung des Trojaners. Defender reklamiert also wahrscheinlich wegen dieser Weiterleitung. Sicherheitstechnisch nachvollziehbar und auch Malware könnte das so machen. Aber in diesem Fall völlig problemlos. Nach dem manuellen Entfernen der externen Links findet auch Defender nichts verdächtiges mehr.