2000219

Verborgene Informationen in LNK-Dateien finden

05.12.2014 | 15:31 Uhr |

LNK-Dateien können durch Schadsoftware manipulierte Daten und enthalten. Unser PC-WELT-Tool scannt auf mögliche Gefahren.

Dieses Programm brauchen Sie: PC-WELT-Lnk-Check , gratis, für Windows Vista, 7 und 8

Die ausführbaren Dateien befinden sich in einem anderen Verzeichnis. Hinter den Verknüpfungen verbergen sich Dateien mit der Endung „LNK“. Die Endung ist jedoch nicht zu sehen. Nur der Eintrag „Verknüpfung“ in der Spalte „Typ“ und ein kleiner Pfeil weisen im Windows-Explorer auf den besonderen Dateityp hin. LNK-Dateien sind ein relativ komplexer Dateityp. In ihnen sind mehr Informationen abgelegt als auf den ersten Blick zu sehen ist. Das macht sich auch Schadsoftware zu nutzen, indem sie beispielsweise Internet-Adressen in die Verknüpfungen zum Browser einbaut.

Wenn Sie dann etwa Firefox starten, erscheint eine andere Startseite als üblich, die dem Verbreiter der Schadsoftware Geld einbringt oder weitere Schadprogramme nachinstalliert. In den Verknüpfungen sind außerdem von Haus aus teilweise etliche Informationen über den PC vorhanden, beispielsweise die eindeutige ID der Netzwerkkarte (MAC-Adresse), Pfadangaben zu Ordnern auf der Festplatte und im Netzwerk sowie Zugriffszeiten. Das kann ein Sicherheitsrisiko bedeuten, wen Sie eine LNK-Datei versehentlich weitergeben.

20 geniale Sicherheits-Tools für Windows

LNK-Dateien prüfen: Wenn Sie wissen wollen, ob in den LNK-Dateien auf Ihrem PC unerwünschte Anweisungen oder Infos stecken, verwenden Sie dazu unser Tool PC-WELT-Lnk-Check . Entpacken Sie es in einen beliebigen Ordner. Das Programm benötigt für einige Funktionen das Visual C++ Redistributable für Visual Studio 2012. Auf vielen PCs ist es bereits vorhanden. Um das zu prüfen, gehen Sie ins Unterverzeichnis „Tools“ und starten lnk_parser_cmd.exe. Wenn eine Fehlermeldung erscheint, installieren Sie vcredist_x86.exe aus dem gleichen Verzeichnis. Danach starten Sie pcwLNKCheck.exe aus dem Installationsordner. Das Tool benötigt administrative Rechte, die es über die Benutzerkontensteuerung anfordert.

Setzen Sie auf der linken Seite ein Häkchen vor die Laufwerke, auf denen Sie die LNK-Dateien prüfen möchten. Wenn diese NTFS-formatiert sind, was bei fast allen aktuellen Windows-PCs der Fall sein dürfte, setzen Sie ein Häkchen vor „Schnelle Suche (nur NTFS)“. Sollte das Tool auf ein FAT32-Laufwerk treffen, schaltet es automatisch in den langsameren Suchmodus. Klicken Sie auf „Suche *.lnk“. Das Suchergebnis erscheint in einer Liste. Hier können Sie jede einzelne LNK-Datei anklicken und die Textausgabe unter „Link-Infos“ betrachten.

Diese Basisinformationen zeigen Ihnen, welche Datei über den Link gestartet wird und gegebenenfalls das Arbeitsverzeichnis, die Beschreibung sowie das zugewiesene Tastaturkürzel. Hinter „Parameter“ stehen Angaben, die beim Start über die LNK-Datei an das Programm übergeben werden, beispielsweise „http://malwaresite.com“. Sie können sich auch nur Verknüpfungen anzeigen lassen, die Parameter enthalten. Dazu setzen Sie ein Häkchen vor „Nur Dateien mit 'Parameter' zeigen“. Über das Eingabefeld hinter „Filter“ können Sie außerdem in den Parameter-Texten suchen und so die Anzeige weiter einschränken. Die Link-Infos, für die in der Liste ausgewählten Dateien lassen sich außerdem über die Schaltfläche „Infos in Textdatei ablegen (Kurzformat)“ für die spätere Analyse speichern.

Noch mehr Infos erhalten Sie mit einem rechten Mausklick auf eine LNK-Datei in der Liste unter „Ausführliche Infos holen“. Unter „Distributed Link Tracker Properties“ sehen Sie beispielsweise hinter „NetBIOS name“ die Bezeichnung des PCs, auf dem die Datei erstellt wurde. Außerdem finden Sie hier bei vielen LNK-Dateien auch die eindeutige MAC-Adresse des Netzwerkadapters. Diese Informationen können Sie per Klick auf „Infos in Textdatei speichern (ausführlich)“ für die ausgewählten Dateien in einer CSV-Datei speichern und dann für die weitere Untersuchung in einer Tabellenkalkulation wie Excel oder Libre Office Calc öffnen. Als Bonus bietet PC-WELT-Lnk-Check über „Alle Tastaturkürzel auflisten“ noch eine Funktion, mit der Sie sich als Gedächtnisstütze die Hotkeys ausgeben lassen können, die Sie für Ihre Verknüpfungen vergeben haben.

Die Firewall in Windows 7 optimal nutzen

Verknüpfungen bereinigen: Sollten Sie unerwünschte URLs in den Browser-Verknüpfungen gefunden haben, klicken Sie die betroffene Datei in der Liste mit der rechten Maustaste an und wählen im Menü „Ordner im Explorer öffnen“. Gehen Sie dann im Kontextmenü der Verknüpfung auf „Eigenschaften“ und entfernen Sie hinter „Ziel:“ die eingetragene URL. Hier steht dann beispielsweise bei Google Chrome nur noch „C:\Program Files (x86)\Google\Chrome\Application\chrome.exe“. Achten Sie darauf, dass die Anführungszeichen erhalten bleiben, wenn der Ordnername Leerzeichen enthält. Sie sollten aber auch Ihren PC gründlich auf Schadsoftware prüfen, sonst wird die Verknüpfung gleich wieder geändert.

Auch Angaben wie Rechnername oder MAC-Adresse lassen sich bei Bedarf aus den LNK-Dateien entfernen. Einfacher ist es allerdings, dafür zu sorgen, dass die Dateien nicht in falsche Hände geraten. Zudem ist es nicht immer möglich, wirklich alle Zusatzinfos zu entfernen, denn einige stecken in verborgenen Bereichen, die nicht ohne weiteres zugänglich sind. Wenn Sie es trotzdem ausprobieren möchten, verwenden Sie das Kommandozeilen-Programm ShellifyTool.exe aus dem Ordner „Tools“. Es benötigt die .Net-Laufzeitumgebung 3.5, die unter Windows 7 standardmäßig installiert ist. Beim Start unter Windows 8 wird die Installation automatisch angefordert.

Um das Tool zu nutzen, öffnen Sie die Eingabeaufforderung mit administrativen Rechten. Windows-8-Nutzer können dazu im Windows-Explorer auf „Datei -> Eingabeaufforderung öffnen -> Eingabeaufforderung als Administrator öffnen“. Mit der Zeile

ShellifyTool.exe D Dateiname

gibt das Tool die Informationen zur LNK-Datei aus. Für Dateiname setzen Sie den kompletten Pfad und Namen zur LNK-Datei ein. Die Zeile ShellifyTool.exe A Dateiname anonymisiert die Datei, entfernt also alle persönlichen Daten.

0 Kommentare zu diesem Artikel
2000219