Linke Links: Verknüpfungen LNK, URL, PIF und WSH

Zeigerdateien, vor allem die Verknüpfungen LNK, URL und PIF, unter Umständen aber auch SHS und BAT, scheinen zunächst harmloser als Dateien mit eigenem Code. Sie müssen eben erst auf eine weitere Datei mit Code verweisen.

Angesichts ihrer zahlreichen Tarnmöglichkeiten sind solche Zeigerdateien jedoch extrem gefährlich, weil sie mit völlig harmlos erscheinenden Dateien Bomben legen können. Eine LNK-Datei mit dem Inhalt regedit/sVieleGruesse.DOC importiert lautlos die Registry-Informationen der harmlos aussehenden DOC-Datei -vorausgesetzt, es handelt sich dabei eigentlich um eine REG-Datei.

Analog kann etwa ein Link HTA-Code direkt an den Browser oder Batchbefehle direkt an den Kommando-Interpreter übergeben. Die Datei-Endungen sind dabei beliebig. Es kommt hinzu, dass LNK-, PIF- und URL-Dateien jedes schmucke Icon tragen dürfen und ihre Extension grundsätzlich verbergen, also etwa als Klickmich.TXT erscheinen.

Hier lauern zahllose Verstecke und psychologische Trickspiele. Als besonders irreführend kann sich der Zeiger vom Typ URL erweisen: Um eine "Internetverknüpfung", wie sie die Detailansicht des Explorers ausweist, muss es sich keineswegs handeln. Ist dort als URL der Eintrag file:/// mit nachfolgendem lokalen Pfad oder Netzpfad angegeben, verweist die URL-Datei vielleicht auf eine fatale EXE-Datei, die Sie nie direkt anklicken würden.

Einzige Empfehlung: Wenn die Detailansicht des Explorers "Verknüpfung"oder "Internetverknüpfung"angibt, sollten Sie sich unter den "Eigenschaften" informieren, wohin diese Datei verlinken will. Das gilt auch für den Spezialfall WSH, der zwar keine Tarnung ermöglicht, aber stets auf Scriptdateien verweist, die der Windows Scripting Host ausführt.