Neue Gefahren mit Paketen und Datenauszug
| Anforderung | |
|---|---|
| Zeitaufwand |
Arbeiten Sie mit Datenauszügen, die es erlauben, einen markierten Textteil einfach mit der Maus als Datei abzulegen? Word besitzt diese seit Version 95, einige andere Textverarbeitungen bieten inzwischen dieselbe Option an. Sobald solche "Scrap"-Dateien nicht von Ihnen selbst stammen, sollten Sie Vorsicht walten lassen.Die PC-WELT konnte einen bösen Windows-Schnitzer im Bereich OLE (Object Linking and Embedding) nachweisen. Der sogenannte Objekt-Manager (PACKAGER.EXE) erlaubt es, Befehlszeilen in OLE-Pakete einzupacken und in beliebige Windows-Anwendungen zu integrieren.
Die Verfahrensweise ist einfach: Nach dem Start von PACKAGER.EXE läßt sich mit "Bearbeiten, Befehlszeile" ein Befehl mit beliebigen Parametern definieren, anschließend mit "Symbol einfügen" ein Icon bestimmen, eventuell noch eine Beschriftung wählen ("Bearbeiten, Beschriftung"). Nach "Bearbeiten, Paket kopieren" läßt sich das Paket in jede Windows-Anwendung einfügen ("Bearbeiten, Inhalte einfügen").((Achtung)) Jedem erfahrenen Anwender wird klar sein, daß der Doppelklick auf ein solches OLE-Objekt dramatische Folgen haben kann. Die Befehlszeile, die sich hinter einem hübschen Icon und einer harmlosen Bezeichnung verbirgt, kann durchaus "deltree /y c:\*.*" oder schlimmer lauten. Aber die Tarnung eines solchen tödlichen Trojaners fliegt sofort auf, wenn Sie das Objekt vor dem Doppelklick erst einmal mit "Paket bearbeiten Paket" inspizieren. Im Packager ist daraufhin der Befehl im Klartext zu lesen. Den Doppelklick werden Sie sich dann wohlweislich sparen.Wohl aufgrund des Trojaner-Risikos ist es unter Windows nicht vorgesehen, Pakete des Objekt-Managers als eigene Dateien abzulegen. Was aber nun, wenn ein Paket zunächst in eine Anwendung wie Word 95/97 oder Word Pro integriert und dann als sogenannter "Datenauszug" einfach mit der Maus in ein Verzeichnis gezogen wird? Das funktioniert. Es entsteht eine Datei namens SCRAP (die Extension SHS wird nicht angezeigt) mit einem harmlosen Icon. Der Dateiname läßt sich nachträglich beliebig ändern.
Eine solche Scrap-Datei, die eben keinen "Datenauszug" aus einer Textverarbeitung enthält, sondern ein Paket mit Befehlszeile, ist überaus gefährlich:1. Wer häufiger mit Datenauszügen arbeitet, wird getrost auf das Scrap-Objekt doppelklicken, weil dieser Dateityp bislang als harmloser Text gilt: kein Virenrisiko, kein Ausführen von Trojanern ...2. Es gibt selbst für vorsichtige Anwender keine vom System vorgesehene Möglichkeit, den Inhalt der Scrap-Datei zu überprüfen - eigentlich bleibt nur der fatale Doppelklick, um an ihn heranzukommen. Theoretisch wäre noch die Analyse mit einem simplen Editor oder einem Hex-Editor möglich - aber wer tut sich das konsequent an?Die Konsequenz: Mißtrauen Sie allen Scrap-Dateien, die Sie auf Diskette bekommen oder die im Netzwerk herumlungern und deren Herkunft Sie nicht kennen. Lassen Sie einfach die Finger davon - oder gehen Sie folgenden Weg, der den Entwicklungsgang eines Trojaner-Scraps einfach umkehrt: Öffnen Sie eine neue Datei in der Textverarbeitung, und ziehen Sie das Scrap-Objekt in das Dateifenster. Erscheint nun Text, war die Scrap-Datei das, was sie anständigerweise sein sollte. Erscheint ein Icon-Objekt statt Text, ist das höchst verdächtig. Mit einem Rechtsklick auf das Objekt und den Kontextmenü-Befehl "Paket bearbeiten Paket" erhalten Sie Gewißheit über den Inhalt.Scrap-Trojaner sind übrigens nach einmaligem Aufruf gesperrt - das reicht freilich aus, um Ihre Festplatte aufzuräumen. Hintergrund ist die Tatsache, daß für ein als Scrap getarntes Paket kein zuständiger OLE-Server gefunden wird und der Objekt-Manager das Paket danach nicht mehr freigibt.
