Os Computerei

Blog von Oliver Braun vom IT-Service.berlin

...zum IT-Service.berlin 

Der Artikel https://blog.it-service.berlin/2014/05/31/vorsicht-vor-e-mails-soweit-nichts-neues/ heute noch ein­mal in Kurz­form, mit einem aktuellen E‑Mail-Schädling:

Begeg­nen Sie einge­hen­den E‑Mails mit ein­er ordentlichen Por­tion Mis­strauen. Diese Ein­stel­lung stellt seit jeher den besten Schutz vor Com­put­er­viren und Mal­ware dar.

Also – die E‑Mail: Die Nachricht gibt vor, eine Benachrich­ti­gung über ein 35-seit­iges Tele­fax zu sein. Das Fax dürfte dann wohl als PDF-Datei ange­hängt sein. PDF-Dateien sind nicht unge­fährlich; wenn ein PDF-View­er wie der Adobe Read­er in der aktuellen Ver­sion inkl. aller Updates benutzt wird, der Absender bekan­nt ist und die Nachricht unter Berück­sich­ti­gung des Absenders einiger­maßen plau­si­bel ist, dann kann man den Anhang öff­nen.

Hier ist nun eine ZIP-Datei ange­hängt. Das ist ein Con­tain­er, in dem die eigentliche Datei kom­prim­iert drin­nen steckt. Das spart Spe­icher­platz, außer­dem kann man mehrere Dateien in einen Con­tain­er steck­en. Eine Rech­nung oder ein weit­ergeleit­etes Fax in dieser Form zu bekom­men, ist ungewöhn­lich, aber diese ZIP-Datei öffne ich trotz­dem. Das ist näm­lich nicht gefährlich.

Im Pack- und Ent­pack-Pro­gramm 7‑Zip sieht das so aus:

Im Win­dows Explor­er bietet sich dieses Bild:

An der Erweiterung erken­nt man, was für eine Art von Datei es ist. Die „Erweiterung” sind die Buch­staben und Zeichen nach dem let­zten, nach dem aller­let­zten Punkt im Dateina­men.

Hier ist es eine EXE-Datei. Also ein Com­put­er­pro­gramm. Was da pro­gram­miert wurde, weiß ich nicht. Erst wenn ich diese Datei öffne, zum Beispiel durch einen Dop­pelk­lick, wird das fremde Pro­gramm aus­ge­führt.

Wenn es aus­ge­führt wird, instal­liert es sich vielle­icht auf dem Rech­n­er und zeich­net alle Tas­tatureingaben auf, aktiviert heim­lich die Web­cam oder leit­et alle ver­traulichen Dateien an alle Kon­tak­te im Adress­buch weit­er.

Auf das Öff­nen verzichte ich daher. Das reicht, alleine dadurch bin ich „geschützt”. Schutz­soft­ware ist da gar nicht nötig, ein Blick auf die Erweiterung des Dateina­mens genügt.

Zum Schluss noch zwei Beispiele für solche Dateien. Die zweite Datei ver­sucht, sich als PDF-Datei zu tar­nen, aber es ist natür­lich eine EXE-Datei:

  • Rechnung-Telekom-20150128.exe
  • Vodafone-Jan-2015–1528.PDF.exe