Malware mit vorgetäuschter / doppelter Datei-Erweiterung
Seit fast einem Jahrzehnten macht sich Malware eine Eigenschaft von Windows zunutze, nämlich, die Dateiendungen auszublenden. Das Prinzip: Dem Anwender flattert – via Mail, Messenger, Web-Link, Facebook… – eine Datei ins Haus, die irgendwie reizvoll & wichtig erscheint – ein toller Screensaver, das Bild eines nackten, derzeit hippen Stars, ein MP3-File mit lustigem Inhalt … -, und indem der Anwender drauf klickt, startet er das Verderben. Denn die .MP3, die .JPG und .ZIP waren gar keine Musik-, Bild- oder Archiv-Dateien. Sondern eine Malware.
Wie Sie das Problem beseitigen, indem Sie Ausblendung von Dateiendungen abschalten, lesen Sie im Beitrag Dateierweiterungen anzeigen lassen auf Windows 7, Vista, XP. Hier in diesem Beitrag soll darum gehen, *warum* der dort beschriebene Eingriff sinnvoll ist und wie diese (mittelmäßig gefährliche) Gefahr eigentlich genau aussieht.
Dateiendungen selber fälschen
Wie das Vortäuschen falscher Dateiendungen funktioniert, können Sie spaßeshalber mit Minimalmitteln selbst ausprobieren (sofern Sie das Ausblenden von Dateiendungen, wie es Werksvorgabe von Windows seit Windows 9x ist, nicht schon wie hier beschrieben bei sich abgeschaltet haben!). Starten Sie dazu eine Eingabeaufforderung (im Zubehör, oder: [Windows R], cmd eingeben, [Enter]) und geben Sie einige Befehle ein.
Als erstes wechseln Sie ins Verzeichnis Desktop, das entspricht Ihrem Desktop:
cd desktop
Dann erzeugen Sie eine Datei, die nichts enthält, und die eine doppelte Dateiendung hat:
cd.>killer.txt.exe
Sie sehen sofort die (trotz melodramatischem Namen völlig harmlose) Datei auf Ihrem Desktop.
Und, oh Wunder, Sie heißt auf dem Desktop killer.txt.
Also eine harmlose Textdatei?
Eben nicht!
Denn die eigentliche Endung ist nicht .txt, sondern .exe, es also eine ausführbare Datei, doch Windows zeigt seit 15 Jahren diese Endung bei Werkseinstellungen nicht an. Wenn nun noch jemand das Icon der ausführbaren Datei mit dem Icon des Windows-Editors versieht (für Programmierer eine Sache von Sekunden), ist die Täuschung perfekt. Ein Doppelklick, “um die Textdatei zu öffnen”, startet das Killer-Programm – Tschüss, Windows.
Dieser Trick ist seit Jahren im Gebrauch, funktioniert noch immer (auch bei Windows 7) und wird noch immer verwendet. Daher lohnt es sich, die Dateierweiterungen nicht ausblenden zu lassen, wie im Beitrag Dateiendungen anzeigen beschrieben.
Anzeigegrenzen bei File Extensions
Allerdings zeigt Windows trotz der im Beitrag Dateierweiterungen anzeigen gezeigten Änderung immer noch nicht alle Datei-Erweiterungen…
- Einige Endungen zeigt Windows prinzipiell nicht an, zum Beispiel die Endung .pif. Es handelt sich um Programminformationsdateien (Program Information Files), die DOS-Programme und Befehlszeilenkommandos steuern und die Windows aus Gründen der Rückwärtskompatibilität (Teufelszeug!) mitschleppt. Ihr Sicherheitsrisiko ist heute nicht mehr sooo akut, aber es gab zahlreiche PIF-Dateien, die gefährlich waren und zum Beispiel einen Format-C:-Befehl starteten.
- Auch kann man den User immer noch täuschen, indem man die Datei killer.txt.exe zu einer killer.txt .exe umbenennt, wobei man möglichst viele Leerzeichen vor die zu verbergende Dateiendung schreibt.
Vergleich: ausgeblendet, eingeblendet und via Shell
Ein Beispiel mit folgendem Setup:
- killer.txt – nur die erste Datei ist wirklich eine Textdatei
- killer.txt .exe – die zweite Datei hat die Endung .exe nach Tarn-Leerzeichen
- killer.txt.exe – die dritte Datei nutzt die einfache Täuschung
- killer.txt.pif – demonstriert, dass Windows auch nach obiger Änderung noch nicht alle File-Extensions anzeigt.
Also: Nur die erste Datei ist harmlos, alle weiteren Dateien könnten Malware sein (wobei diese sich mit dem Icon der Textdatei schmücken könnten, oder mit dem Icon des Bildbetrachters (bei .jpg.exe) oder des ZIP-Ordners (bei .zip.exe) und so weiter, was ich hier weggelassen habe):
So sieht es per Windows-Standard aus:
Nach der Änderung aus dem Beitrag Dateierweiterungen anzeigen erkennt man immerhin die killer.txt.exe (dritte Datei) als solche:
Noch verborgen bleibt: die wahre Dateiendung der zweiten Datei: killer.txt … dass da noch mehr drinsteckt, deutet sich zum einen in der Spalte Typ an, die aber nicht jeder beachtet, und an den drei Punkten, die kaum auffallen. Der Trick: Die betreffende Datei per Maus markieren und [Strg +] drücken, wobei Sie das [+] des Ziffernblocks Ihrer Tastatur nehmen müssen. Mit [Strg +] erweitert der Windows-Explorer die Spalte Name so, dass der Name der markierten Datei vollständig angezeigt wird:
Die vierte Datei hat scheinbar immer noch die Endung .txt. Stimmt aber nicht, wie die Shell zeigt:
Wie man sieht, täuscht Windows in der Standardeinstellung den User und schafft in drei von vier Fällen ein prinzipielles Missbrauchspotential. Es sei zur Beruhigung noch erwähnt, dass das heute, 2010, aus der Mode geraten ist, also eher eine seltene Täuschung ist. Aber dennoch immer noch möglich. Diesen Beitrag gibts eigentlich nur, falls ich an anderer Stelle mal darauf verweise. Man sollte seine eigenen Aussagen nicht überprüfen, sonst muss man sie gleich wieder ändern. Will heißen: Der Trick ist offenbar immer noch gebräuchlich, siehe zum Beispiel https://www.avira.de/de/support-threats-description/tid/5706/threat/TR.Spy.361489.
Nicht anzeigbare Endungen dennoch anzeigen
Einige Endungen zeigt Windows wie erwähnt prinzipiell nicht an, auch nicht mit so geänderten Einstellungen. Das gilt zum Beispiel für die Endung .pif.
Natürlich kann man Windows so einstellen, dass auch diese Endungen angezeigt wird. Um zum Beispiel Dateien mit der Extension .pif dennoch anzuzeigen,
- starten Sie den Registry-Editor ([Windows R], regedit eingeben, [Enter]) und
- öffnen Sie den Schlüssel HKEY_CLASSES_ROOT\piffile.
- Löschen Sie den Wert NeverShowExt (markieren, dann [Entf] drücken).
- Nach einem Neustart zeigt Windows die Dateiendung .pif an.
So geht das mit jedem Dateityp, den Windows nicht anzeigt.
Welche das sind, kriegen Sie so raus:
- Drücken Sie im Registry-Editor [F3],
- geben Sie als Suchbegriff NeverShowExt ein
- lassen Sie suchen – irgendwann findet er was.
- Wiederholen, bis zufrieden.
- Ist dieser Eintrag existent, signalisiert er, dass beim zugehörigen Dateityp, zu dessen Zweig er gehört, die Erweiterung auch dann ausgeblendet werden soll, wenn das Ausblenden der Erweiterung deaktiviert wurde. (Was rauchen die da eigentlich in Redmond?)
Es wäre mir persönlich ehrlich gesagt nicht die Mühe wert und sei hier nur der Vollständigkeit halber erwähnt. Es sei aber auch erwähnt, dass diese Windows-Eigenschaft bei der Endung .pif wie so viele natürlich dafür gesorgt hat, dass viele gefährliche .irgendwas.pifs unterwegs sind beziehungsweise waren:
Nur ganz wenige Mailprogramme – zum Beispiel das vorbildliche The Bat! – melden von selbst, wenn solche doppelten Dateiendungen eingehen. Übrigens auch Google-Mail, zumindest beim POP3-Abruf anderer Konten.