In der letzten Ausgabe haben wir über Virenwarnungen (von denen wir hier in der Redaktion scheinbar verschont wurden), “Würmer” und “Hoax”, berichtet. Da diese beiden Arten nur ein In den letzten drei Ausgaben haben wir uns mit der Definition und der Ge-schichte von Computer-Viren, ihre verschiedenen Erscheinungsformen und die Gefahr die von ihnen ausgeht, beschäftigt. Heute wollen wir Ihnen ein kleines Lexikon der Dateitypen,-formate und die damit in Zusammenhang stehenden Vireninformationen geben, das Paul Ducklin von der Firma Sophos zusammengestellt hat. Hier erfahren Sie, welche Dateien von Computerviren infiziert werden können und welche nicht.

ASCII (American Standard Code for Information Interchange)

Einfacher ASCII-Code erlaubt 7 Bits pro Zeichen (128 Zeichen), wobei die ersten 32 Zeichen nicht druckbar sind (sie rufen Befehle auf wie Line Feed, Form Feed oder Bell). Im allgemeinen sind ASCII-Dateien Textdateien. Wenn man sich jedoch etwas Mühe gibt, kann man auch Programme schreiben, die ausschließlich aus druckbaren Zeichen bestehen. Auch Windows-Batchdateien und Visual-Basic-Script-Dateien ( siehe VBS ) bestehen aus reinem Text und sind doch Programme. ASCII-Dateien können also Programmcodes enthalten und somit auch

Einfacher ASCII-Text ist die beste Alternative, E-Mails zu versenden, die für ein breites Publikum bestimmt sind. Bei einer E-Mail, die aus reinem Text besteht, können Sie sowohl Inhalt als auch Layout genau bestimmen und gleichzeitig sicher sein, daß Ihre Mail selbst für Benutzer lesbar ist, die mit veralteten E-Mail-Programmen arbeiten.

BMP (Bitmap-Datei)

Eine Bitmap ist ein Raster aus farbigen Punkten (Pixel), die zusammen eine Abbildung ergeben. BMP-Dateien speichern solche Abbildungen, um sie auf dem Bildschirm zu zeigen. Im Gegensatz zu anderen Speicherformaten von Abbildungen ( siehe JPEG ) sind BMP-Dateien relativ primitiv und komprimieren nur geringfügig. Große Abbildungen bedeuten also auch große BMP-Dateien. Trotzdem sind BMP-Dateien auf Windows-Systemen üblich, da BMP eines der Standardbildformate von Windows ist. BMP-Dateien sind keine Programme und können somit nicht von Viren befallen werden (siehe dazu aber “Wichtiger Hinweis”).

CGI (Common Gateway Interface)

CGI-Skripte werden gemeinhin auf Webseiten verwendet, um auf den Interessenten zugeschnittene Resultate zu erzielen. Meist sieht das so aus, daß wenn ein Besucher beispielsweise ein Formular ausfüllt oder auf einen Link klickt, der Server ein Skript unter Verwendung der Informationen ausführt, die der Benutzer eingegeben hat. Dies vermittelt den Eindruck, als sei die Webseite für den Besucher “wie gemacht”.

Dies bedeutet, daß der Server ein Programm ausführt, das von einem Außenstehenden gestartet wird, mit Daten, die dieser eingibt. Da sich viele Programme bei Eingabe von ungültigen oder unzulässigen Daten fehlerhaft verhalten, ist es einem Eindringling durchaus möglich, das CGI-Skript so mit Daten zu “füttern”, daß der Hacker mit Hilfe eines solchen Fehlverhaltens Zugang zur eigentlichen Webseite erhält. Hinzu kommt, daß einige CGI-Skripte eingegebene Informationen von Besuchern in temporären Dateien speichern (ein Online-Shop etwa speichert den Inhalt des virtuellen Einkaufskorbs des Besuchers). Wurden die Skripte vom Administrator nicht richtig konfiguriert, können diese Dateien in den gleichen Bereich geschrieben werden, wo sich die Dateien für die eigentliche Webseite befinden. Ein Hacker, der sich auskennt, kann sie dann später mit Hilfe eines Webbrowsers abrufen.

CLP (Clipboard-Datei)

Windows hat ein virtuelles Clipboard, das transparent (für den Benutzer nicht sichtbar) alles speichert, was aus einer Anwendung “ausgeschnitten” (Strg-X) oder “kopiert” (Strg-C) wird bis man es in eine andere “einfügt” (Strg-V). Das Clipboard enthält jeweils nur ein Objekt, es können jedoch viele verschiedene Darstellungen dieses Objekts gespeichert werden.

Manchmal enthält das Clipboard nicht das Objekt selbst, sondern einen Verweis auf dieses. Wenn etwa eine EXE-Datei vom Explorer in das Clipboard kopiert wird, merkt sich das Clipboard den Namen und das Verzeichnis der Datei und speichert nicht die Datei selbst. Der Inhalt des Clipboards kann als CLP-Datei auf einen Datenträger gespeichert werden.

DOC (Dokumentdatei)

Dokumentdateien in Microsoft Word enthalten normalerweisen nur Dokumentdaten. Sie können allerdings auch Programme ( sogenannte “Makros” ) enthalten, die in einer anspruchsvollen Programmiersprache geschrieben werden, die Teil von Word ist.

Es gibt verschiedene Versionen dieser Makrosprache, z.B. Word Basic in Word 95, Visual Basic for Applications 5 (VBA5) in Word 97 und Visual Basic for Applications 6 in Word 2000. Diese Programmiersprachen sind alle so entworfen, daß sie leicht erlernbar sind und sie sind leistungsfähig genug, um Viren mit ihnen zu schreiben.

Wenn also jemand eine DOC-Datei per E-Mail schickt, kann es sich um etwas mehr als nur eine Datei mit einfachen Daten handeln. Sie kann ein Makroprogramm enthalten, das automatisch startet, wenn auf die DOC-Anlage der E-Mail doppelgeklickt wird. DOC-Dateien werden häufig hin- und hergeschickt und Word-Viren konnten und können sich somit enorm verbreiten. Sieben von zehn Viren der Sophos-Top-10-Liste vom März 1999 können DOC-Dateien infizieren.

Einige Antiviren-Programme können zwar verhindern, daß man aus Versehen eine infizierte DOC-Anlage einer E-Mail öffnet und somit sein System verseucht, aber der bessere Weg ist erst gar keine DOC-Datei zu versenden.

Manche Leute versenden DOC-Dateien, die nur kurze Nachrichten enthalten und die man wesentlich effektiver als einfache Text-E-Mails ( siehe ASCII ) schicken kann. Oder es werden komplexe Dokumente gesendet, die nicht das ganze “Tamtam” brauchen, das DOC-Dateien bieten. In diesen Fällen wäre es sicherer und effektiver, das Rich Text Format ( siehe RTF ) zu benutzen.

EICAR (Die EICAR-Standard-Anti-Virus-Testdatei)

Hierbei handelt sich um eine einfache Textdatei, die auch ein Programm sein kann ( siehe ASCII ). Sie besteht aus einer Zeile druckbarer Zeichen; gespeichert als eine Datei namens EICAR.COM kann sie tatsächlich ausgeführt werden. Sie druckt die Meldung:

Die meisten Antiviren-Programme erkennen diese Datei als Virus. So kann einfach und sicher die Installation und Zuverlässigkeit der Antiviren-Software getestet werden, ohne daß man einen richtigen Virus braucht. Einen “richtigen” Virus für Testzwecke in einem Firmennetzwerk zu verwenden ist so, als ob man den Papierkorb in Brand steckt, um den Feueralarm zu testen - ein unnötiges Risiko.

Um eine EICAR-Testdatei zu erstellen, erstellt man eine Textdatei namens EICAR.COM, die eine einzelne Zeile wie diese enthält:

X5O!P%@AP[4\PZX54(P")7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H"*

Beachten Sie bitte, daß das “O” an dritter Stelle der Buchstabe “O” ist und nicht die Ziffer “Null”. Wenn der Text richtig getippt oder kopiert wurde, meldet das Anti-Virus-Programm, daß die Datei “EICAR-AV-Test” enthält.

E-Mail-Enten (“Scherze” oder Falschmeldungen)

Manchmal können Viren, die keine sind, genauso viel Ärger machen, wie Viren selbst. Es gibt unzählige Virenfalschmeldungen per E-Mail, in denen angebliche, neue Viren beschrieben werden. Die Leserinnen und Leser werden gewarnt, daß diese “Viren” extrem gefährlich seien und gedrängt, diese Warnung an möglichst viele Freunde weiterzuleiten. Häufig werden noch pseudotechnische Informationen eingeflochten, damit der “Scherz” so glaubhaft wie möglich klingt. Anmerkungen, die angeblich von Softwarefirmen und “Antiviren-Spezialisten” stammen betonen meist, daß diese neue “Bedrohung” weder zu erkennen noch zu beseitigen sei.

Das Resultat ist eine Flut unnötiger E-Mails. Selbst wenn die E-Mail korrekte Informationen über einen drohenden Virus erhält, sollte man der Versuchung widerstehen, dies möglichst vielen Leuten mitzuteilen. Dies hat ein Kettenbrief im Internet zur Folge, der nichts als Bandbreite und Kapazität verschwendet.

Den meisten Unternehmen ist es lieber, wenn neue Virenwarnungen über das firmeneigene Intranet gemeldet werden oder der Sicherheitsadministrator eine einzige E-Mail an alle Mitarbeiter schickt. Wenn plötzlich jeder jedem einen “dringenden Virenalarm” mitteilt, kann die resultierende E-Mail-Schwemme schlimme Folgen haben.

EXE (EXEcutable; ausführbare Programme)

EXE-Dateien enthalten Programme, die man direkt laufen lassen kann. Normalerweise doppelklickt man hierfür auf das Programmsymbol, auf eine Verknüpfung auf dem Desktop oder im Startmenü. Es ist natürlich auch möglich den Namen des Programms als Befehl einzugeben. Programme können von anderen Programmen oder Skripten wie etwa Batchdateien oder Visual-Basic-Script-Dateien (si ehe VBS ) ausgeführt werden. Auch Dateien mit der Erweiterung COM ( Comander) sind unter Windows direkt ausführbar.

Da Programme nun einmal dazu da sind, ausgeführt zu werden und den Computer zu kontrollieren, ist es nicht erstaunlich, daß die Mehrzahl der bekannten Viren Programmdateien infizieren. Im Alltag, sozusagen “in freier Wildbahn”, kommen jedoch Viren, die Programme infizieren, relativ selten vor.

Dies kommt sehr wahrscheinlich daher, daß Programme wesentlich seltener als Dokumente ( siehe DOC ) und Tabellen ( siehe XLS ) untereinander getauscht werden und es somit unwahrscheinlicher ist, daß infizierte Programme von einem Computer auf den anderen übertragen werden.

Die Erfahrung lehrt jedoch, daß man Leute leicht überreden kann, ihnen unbekannte Programme auszuführen, wenn man ihnen EXE-Dateien per E-Mail schickt. Es ist ratsam, unaufgefordert zugesandte Programme ( siehe Trojanisches Pferd ) zurückzuweisen, auch wenn man die Herkunft kennt; es besteht nur selten die Notwendigkeit, sie anzunehmen.

FAX (Dateien für die Faxübertragung)

Im allgemeinen enthalten Faxdateien eine Bitmap-Abbildung des Faxinhaltes. Der Inhalt wird durch Scannen eines gedruckten Dokuments erstellt ( konventionelle Faxgeräte haben integrierte Scanner, Modems und Drucker, um die Faxabbildungen entgegenzunehmen, zu übertragen und anzuzeigen ) oder mit Hilfe eines Computerprogramms, das die Abbildungen im Faxformat aus Dateien wie z.B. Word-Dokumenten erstellt.

Sendet man ein Word-Dokument per Fax, wird nur eine Abbildung davon angefertigt, wie das Dokument aussehen würde, wenn man es ausdruckt. Es werden also keine Programm-Makros ( siehe DOC ) gesendet. Word-Makroviren können also nicht über das Faxgerät übertragen werden.

Das größte Risiko für Firmenfaxgeräte sind heutzutage wahrscheinlich unaufgefordert zugesandte Faxe, die Firmenmittel verschwenden. Einige unerwünschte Faxe locken mit Preisausschreiben ( die Preise sind meist nur wenig wert ). Hierfür müssen ein paar Antworten angekreuzt und über eine Servicenummer zurückgefaxt werden. Dies kann bis zu 3,63 DM pro Minute kosten , wobei einige Verbindungen bis zu neun Minuten dauern.

HTML (Hypertext Mark-Up Language)

HTML ist die “Sprache” des World Wide Web, mit der das Aussehen und Reaktionen von Webseiten bestimmt wird. HTML ist eine deskriptive Sprache, keine Programmiersprache, doch HTML-Dateien können durch eingebettete Programme erweitert werden, die meist in JavaScript, Visual Basic Script oder Java geschrieben sind. Wenn eine HTML-Datei mit einem solchen eingebetteten Programm heruntergeladen wird, wird das Programm automatisch auf dem lokalen Computer ausgeführt.

Meistens hört sich das schlimmer an, als es tatsächlich ist, denn die eingebetteten Programme, die von einer Webseite heruntergeladen werden, werden normalerweise vom Browser mit nur sehr beschränkter Leistung ausgeführt. Standardmäßig können Java-Programme von anderen Webseiten aus keine Infos der Systemkonfiguration manipulieren oder etwas auf lokalen Festplatten ändern. Eine ähnliche Sicherheitsbeschränkung gilt für VBS-Programme. Das heißt, daß sich Java- und VBS-Viren - im allgemeinen - nicht über den Internetzugang verbreiten können. Eben geschriebenes trifft natürlich nicht immer zu. Lockert man die Sicherheitseinstellungen ( die sowohl für das Betriebssystem als auch für den Browser gelten ), können durch entsprechende Manipulationen VBS- und Java-basierte Viren von einer Webseite automatisch auf den lokalen Computer übertragen werden. Die Sicherheitseinstellungen sollten daher so individuell angepaßt werden, daß häufig besuchten Webseiten auch bestmöglich genutzt werden können. Bevor man solche Veränderungen vornimmt, sollte man sich jedoch über die damit verbundenen Risiken im Klaren sein.

JPEG (Joint Photographic Experts Group)

JPEG-Dateien sind Bitmaps von Abbildungen. Normalerweise bieten sie eine hervorragende Komprimierung und sind im Internet sehr beliebt, da sie sich schnell herunterladen lassen. Da die hohe Komprimierung auf Kosten der Bildqualität erreicht wird, sehen manche Abbildungsbereiche von JPEG-Dateien unnatürlich aus. Diese Nebeneffekte beeinträchtigen normalerweise nicht die Nutzbarkeit der Bilder, besonders im Internet, und werden als zufriedenstellender Kompromiß von Dateigröße und Bildqualität angesehen. JPEG-Dateien sind keine Programme und können nicht mit Viren infiziert werden.

Es gibt allerdings eine “Scherzwarnung” ( in verschiedenen Versionen ), die vor Viren warnt, die JPEG-Dateien befallen sollen. Diese “Scheinwarnung” macht auf die Unzulänglichkeiten der Bildqualität aufmerksam, die als Symptome einer Virusinfektion gedeutet werden. Bei den beschriebenen Fehlern handelt es sich allerdings um die für JPEG typischen Mängel. Den meisten Benutzern werden sie erst auffallen, nachdem man sie darauf aufmerksam gemacht hat und die “Infektion” scheint glaubhaft. Viele werden überzeugt sein, daß ihr Rechner eine Virusinfektion hat - hat er nicht!

MP3 (MPEG3) (Moving Picture Experts Group Audio Layer 3)

MP3-Dateien enthalten komprimierte Tonspuren. Wie bei JPEG kann die Komprimierung erhöht werden, indem die Wiedergabequalität gemindert wird. Da man eine sehr hohe Komprimierung ohne großen Qualitätsverlust erreichen kann, ist MP3 für Ton im Internet sehr beliebt. Ebenso wie JPEG sind MP3-Dateien keine Programme und können somit nicht von Viren befallen werden. Es gibt eine ähnliche Pseudo-Virenwarnung vor MP3-”Viren” wie bei JPEG.

Allerdings sieht die Geschichte bei “Globale Dokumentvorlage in Word” ( Normal.DOT), Excel-Dateien ( XLS), OBJ ( Objektdateien) und Programmbibliotheken (DLL - Dynamic Link Library ) schon anders aus. Bei diesen Dateien fühlt sich ein Virus so “richtig” wohl und lauert auf Beute. Doch mehr dazu erfahren Sie in der nächsten Ausgabe. Ausserdem werden Sie Tips bekommen, um Ihre PWL-Datei (Paßwortlisten) unter Windows sicherer zu gestallten. Weiterhin was bei ZIP-Archiven und “Quarantänebereich” auf der Festplatte zu beachten ist.