Thema: Rückwärts wird ein Virus draus

[SiLæncer]

Windows kann Von-Rechts-nach-Links standardmäßig
seit Vista.

Der AV-Hersteller Norman hat Schädlinge entdeckt, die ihren Dateinamen mit speziellen Unicode-Zeichen verschleiern. Dabei zeigt dann das Mail-Programm oder der Windows Explorer etwas wie exe.importantdocument.doc an. Dahinter verbirgt sich jedoch eine ausführbare EXE-Datei, die das System auch nach wie vor als solche behandelt und auf Doppelklick startet.

Als Ursache macht Normans-Virenanalyst Snorre Fagerland Unicode-Steuerzeichen wie 0x202E (right-to-left override) und 0x202B (right-to-left embedding) aus. Richtig im Dateinamen platziert, sorgen sie dafür, dass aus cod.stnemucodtnatropmi.exe plötzlich ein "wichtiges Dokument" wird. Das verräterische "exe" am Anfang lässt sich noch weiter verbergen. So wird aus

[RTLO]cod.yrammusevituc[LTRO]n1c[LTRO].exe

in der Explorer-Anzeige das scheinbar harmlose n1c.executivesummary.doc, das kaum noch Misstrauen erregen dürfte. Das System sieht jedoch immer noch die Dateiendung ".exe" und behandelt die Datei entsprechend.

Auch Ubuntu reagiert auf die Unicode-
Steuerzeichen.

Schriften, die von Rechts nach Links zu lesen und anzuzeigen sind, unterstützt Windows seit Vista; unter Windows XP ist dazu ein Erweiterungspaket erforderlich. Doch das Problem ist keineswegs auf Windows beschränkt. Auch Linux kann prinzipiell mit Unicode umgehen und zeigte sich in den Tests von heise Security anfällig für die gleichen Verschleierungstricks. So zeigt etwa das ZIP-Utility und der Eigenschafts-Dialog eines Ubuntu-Desktops (10.4 LTS) ebenfalls eine scheinbare doc-Datei-Datei an, die jedoch als EXE-Datei behandelt und mit Wine verknüpft wird.

Bei MacOS X gehört Unicode-Unterstützung ebenfalls
zum Lieferumfang.

Auch Mac OS X zeigte die Zeichen korrekt nach Unicode-Standard an – also in der scheinbar harmlosen DOC-Variante. Allerdings spielen beim Mac und Linux die Dateinamen keine so tragende Rolle wie unter Windows.

Das grundsätzliche Problem ist auch keineswegs neu. Bereits 2007 berichtete heise Security über Täuschende Dateinamen unter Vista – damals allerdings noch als eher theoretisches Risiko. Wie Normans Analysen zeigen, wird der Trick jetzt von Malware-Autoren aufgegriffen und Anwender können sich somit zukünftig nicht mehr auf die angezeigten Dateinamen verlassen. Denn wenn das System beim Anzeigen möglicherweise gleich mehrfach die Richtung wechselt, können höchstens noch Palindrom-Experten erkennen, was da alles drinstecken könnte.

Quelle : www.heise.de

[Jürgen]

Auch aus diesem Grunde sollte man im Explorer stets die Detail-Ansicht verwenden, wenigstens für den Download-Bereich.
So erfährt man zumindest, für was Windows die Datei hält.
Eine Vorschau bzw. Miniaturansicht wäre dort besonders gefährlich, weil damit bereits ein teilweises automatisches Öffnen verbunden ist.
Und für die Entwickler von Dateimanagern der Tip, nicht nur Archivnamen könnte man in einer anderen Farbe darstellen, sondern die tatsächlich wirksame Dateiendung ebenfalls, samt zugehörigem Punkt. Am besten in Rot. Oder wenigstens unterstreichen.

Dass sich die Unterdrückung der Endung sog. bekannter Dateitypen überhaupt nicht gehört, ist ja auch klar, spätestens seit AnnaKournikova.jpg.exe ...

Ansonsten sollte - wenn man schon Dateinamen mit allen Schriftzeichen dieser Welt darstellen lassen will - diese Option wenigstens abschaltbar gemacht werden, oder z.B. bei mouse over im Quelltext eingeblendet.

Allerdings ist seit langer Zeit zu beobachten, wie die Unterschiede zwischen Dateiformaten verwischen, weil sich fast überall drin Scripte aktivieren und sogar externe Komponenten nachladen lassen. Dateiausführung aus PDF, welcher normale Mensch braucht sowas wirklich...