Scripts und Links

8. Installations-Scripts: INF und die AUTORUN.INF
INF-Dateien dienen in erster Linie zur Treiberinstallation, bisweilen auch zum Einrichten von Anwendungs-Software. Der Aktionsradius umfasst Löschen, Kopieren, Umbenennen und vor allem Registry-Änderungen. Die aktuellen Windows-Versionen sind so voreingestellt, dass der Doppelklick auf eine INF-Datei sie zum Editieren öffnet. Der Kontextmenü-Eintrag „Installieren“ muss bewusst gewählt oder per Link-Datei erzwungen werden. Das senkt das Risiko der an sich mächtigen Installations- Scripts beträchtlich.

Die typische Datei AUTORUN.INF auf CD-ROMs hat mit den Installations- Scripts eigentlich nur die Endung gemeinsam. Diese INF besitzt einen eigenen einfachen Befehlssatz, um der eingelegten CD im Windows-Explorer ein bestimmtes Icon zuzuordnen („icon=...“), ferner um beim Einlegen der CD automatisch ein bestimmtes Programm zu laden („open=...“). Damit werden selbstgebrannte, fremde CDs zu einem erheblichen Risiko, da der Hersteller über diese AUTORUN. INF jedes beliebige Script oder Programm der CD starten kann. Wir empfehlen bei häufigem Umgang mit fremden CDs, den Autostart-Mechanismus zu deaktivieren. Das geschieht in den Registry- Schlüsseln „...\Software\Microsoft \Windows\CurrentVersion\Policiesxplorer“ sowohl unter „Hkey_Current_ User“ als auch unter „Hkey_ Users\.Default“, indem Sie den Binärwert „NoDriveTypeAutoRun“ von „95 00 00 00“ auf „B5 00 00 00“ umsetzen.

9. Linke Links: Verknüpfungen LNK, URL, PIF und WSH
Zeigerdateien, vor allem die Verknüpfungen LNK, URL und PIF, unter Umständen aber auch SHS und BAT, scheinen zunächst harmloser als Dateien mit eigenem Code. Sie müssen eben erst auf eine weitere Datei mit Code verweisen. Angesichts ihrer zahlreichen Tarnmöglichkeiten sind solche Zeigerdateien jedoch extrem gefährlich, weil sie mit völlig harmlos erscheinenden Dateien Bomben legen können. Eine LNK-Datei mit dem Inhalt

importiert lautlos die Registry-Informationen der harmlos aussehenden DOCDatei – vorausgesetzt, es handelt sich dabei eigentlich um eine REG-Datei. Analog kann etwa ein Link HTA-Code direkt an den Browser oder Batchbefehle direkt an den Kommando-Interpreter übergeben. Die Datei-Endungen sind dabei beliebig.

Es kommt hinzu, dass LNK-, PIF- und URL-Dateien jedes schmucke Icon tragen dürfen und ihre Extension grundsätzlich verbergen, also etwa als Klickmich.TXT erscheinen. Hier lauern zahllose Verstecke und psychologische Trickspiele. Als besonders irreführend kann sich der Zeiger vom Typ URL erweisen: Um eine „Internetverknüpfung“, wie sie die Detailansicht des Explorers ausweist, muss es sich keineswegs handeln. Ist dort als URL der Eintrag

mit nachfolgendem lokalen Pfad oder Netzpfad angegeben, verweist die URL-Datei vielleicht auf eine fatale EXE-Datei, die Sie nie direkt anklicken würden. Einzige Empfehlung: Wenn die Detailansicht des Explorers „Verknüpfung“ oder „Internetverknüpfung“ angibt, sollten Sie sich unter den „Eigenschaften“ informieren, wohin diese Datei verlinken will. Das gilt auch für den Spezialfall WSH, der zwar keine Tarnung ermöglicht, aber stets auf Scriptdateien verweist, die der Windows Scripting Host ausführt.

10. Theoretische Gefahren: CHM, ISP, PDF, SCF, RTF & Co.
CHM-Dateien sind das aktuelle Format für Windows-Hilfedateien. Über interne Links können sie wie schon das ältere HLP-Format externen ausführbaren Code aufrufen. Ein seltenes Beispiel für ein schädliches CHM-Attachment bietet der „BleBla“-Wurm. ISP-Dateien sind einfache Text-Scripts für das Konfigurieren von Internet- Verbindungen. Sie kamen vor einigen Jahren in Verruf, als eine Sicherheitslücke des Internet Explorers 3.0 den Aufruf von beliebigen DOS- oder Windows- Programmen zuließ. Aktuelle Sicherheitsrisiken sind nicht bekannt.

PDF-Dateien sind grundsätzlich unbedenklich, sofern Sie nur den Acrobat Reader als Viewer benutzen. Theoretische Gefahr besteht nur mit dem Adobe Destiller zum Erstellen von PDF-Dateien.
SCF-Scripts enthalten simple Shell- Kommandos im Textformat für den Windows- Explorer. Das geringe Risiko besteht darin, dass diese SCF-Dateien undokumentierte und bislang unbekannte Befehle erlauben könnten.

Viren in RTF-Dokumenten, Bild- oder Musikdateien können Sie derzeit ebenfalls der Kategorie ungefährlicher Laborversuche zurechnen. Virenprogrammierer wollen schließlich zählbaren Erfolg, und der ist nur über Standardmechanismen zu erzielen. Unter normalen Bedingungen sind die genannten Formate allesamt sicher.