Der Klassiker unter den Virentricks ist die doppelte Dateiendung. Obschon viele Jahre alt, funktioniert dieser Trick auch heute noch bei vielen Anwendern, die nicht so gut mit Windows vertraut sind. Zur Erklärung: Beinahe jede Datei unter Windows besitzt eine Dateiendung. Sie ist meist drei Zeichen lang und folgt auf den letzten Punkt in einem Dateinamen. Schreiben Sie etwa einen Text mit dem Programm Open Office Writer, dann hat diese Datei meist die Endung .ODT. Viele dieser Dateiendungen sind Abkürzungen. .ODT stehet etwa für Open Document Textdokument.
Standardmäßig zeigt Windows diese Dateiendungen aber gar nicht an – weder im Windows Explorer noch an anderen Stellen mit Dateianzeige. Denn Microsoft möchte seinen Nutzer den Anblick von so etwas „technischem“ wie einer Dateiendung ersparen. Stattdessen zeigt Windows zu jeder Datei das Programmsymbol von dem Tool an, mit dem die ausgeblendete Dateiendung verknüpft ist. Das verrät allerdings nicht zuverlässig, um welches Programm es sich handelt.
Die ausgeblendeten Dateiendungen haben sich Kriminelle schon vor Jahren zunutze gemacht, um Ihre Viren zu verbreiten. Der bekannteste Fall war der Mailwurm Loveletter, der als Anhang mit der Doppelextension txt.VBS verschickt wurde. Die Endung .VBS zeigt an, dass es sich um eine Script-Datei handelt. Da Windows diese Endung aber standardmäßig nicht anzeigt, erschien die Datei nur mit dem Namen Love-Letter-For-You.txt. Die Endung .TXT deutet aber auf eine Textdatei hin, was harmlos wirkt. Entsprechend viele Opfer starteten den Dateianhang und infizierten ihren PC mit dem Loveletter-Wurm. Den gleichen Trick nutzte später der Wurm Dumaru. Seine schädliche Datei trug die doppelte Endung .jpg.EXE., wobei zwischen .jpg und .EXE noch etliche Leerzeichen eingefügt waren, also etwa „Myphoto.jpg.exe“. So soll die Endung .EXE aus dem Blickfeld des Opfers geraten.
Viren in scheinbar harmlosen Dateiendungen
Ein besonderer Leckerbissen für die Virenverbreiter ist es, wenn sie ihre Viren in eigentlich harmlose Dateitypen packen können. Das gelingt ihnen immer dann, wenn sie in dem typischen Anzeige-Programm zu dem Dateityp eine Sicherheitslücke finden, über die sich feindlicher Code ausführen lässt.
Besonders groß war die Aufregung, als im Windows-Anzeigeprogramm für JPG-Dateien eine solche Sicherheitslücke auftauchte. Feindlicher Code in einem JPG-Bild konnte die komplette Kontrolle über Windows-System übernehmen. Da Bilder im JPG-Format extrem verbreitet sind und als absolut harmlos gelten, scheut sich kaum ein Anwender, eine solche Datei anzuklicken. Im Fall dieser Sicherheitslücke konnte Microsoft über über das automatische Windows-Update schneller ein Update liefern, als die Virenverbreiter diese Lücke ausnutzen konnten.
Anders sieht es aber bei PDF-Dateien aus. Gerade in den letzten Monaten sind extrem viele Viren in PDF-Dateien aufgetaucht.
Grundsätzlich sollten Sie davon ausgehen, dass jede Dateiendung gefährlich seien kann (außer vielleicht die Endung .TXT). Dateien aus verdächtigen Quellen sollten Sie somit grundsätzlich nicht einfach starten oder öffnen.
So schützen Sie sich: Dateiendungen immer anzeigen lassen
Ändern Sie in Windows die Standardeinstellung, die Dateiendungen ausblendet. Denn nur dann wissen Sie gleich, woran Sie bei einer Datei sind oder können es zumindest flott nachschlagen. Sie ändern das im Windows Explorer über „Extras -> Ordneroptionen -> Ansicht -> Erweiterung bei bekannten Dateitypen ausblenden“. Ab Windows Vista finden Sie die Einstellung unter „Organisieren -> Ordner und Suchoptionen -> Ansicht -> Erweiterung bei bekannten Dateitypen ausblenden“. Bei Windows 8 kommen Sie über „Ansicht -> Optionen“ weiter. Bestätigen Sie die Änderung mit OK. Nun erscheint die Dateiendung im Windows Explorer. Einen Hinweis darauf, mit welchem Programm eine Dateiendung verknüpft ist, gibt der der Explorer, wenn Sie mit der rechten Maustaste auf eine freie Stelle klicken und „Ansicht -> Details“ wählen. Unter „Typ“ steht dann etwa bei einer .ODT-Datei „OpenDocument-Text“.
Wenn Sie genau wissen möchten, mit welchem Programm eine Dateiendung verknüpft ist, dann klicken Sie im Windows Explorer mit der rechten Maus auf die entsprechende Datei und wählen „Öffnen mit -> Standardprogramm wählen“. Das verknüpfte Programm erscheint vorausgewählt, vorhandene Alternativen werden ebenfalls angezeigt. Eine komplette Liste mit allen Datei-Programm-Verknüpfungen finden Sie in Windows XP über „Systemsteuerung -> Ordneroptionen -> Dateitypen“ und in Windows Vista, 7, 8 über „Systemsteuerung -> Programme -> Dateien immer mit einem bestimmten Programm öffnen“.
Verdächtige Dateien nur geschützt öffnen
Grundsätzlich gilt: Sie sollten nur Dateien öffnen oder starten, von denen Sie sicher wissen, dass diese harmlos sind. Alle anderen sollten Sie ignorieren oder noch besser gleich löschen. Doch in der täglichen Praxis gibt es leider oft Grenzfälle, bei denen man sich nicht sicher ist. Hier empfiehlt es sich, die Dateien nur in einem virtuellen PC zu öffnen. Als Virtualisierungs-Software eignet sich etwa der kostenlose Vmware Player. Als Betriebssystem empfiehlt sich etwa Windows XP, das wenige Arbeitsspeicher benötigt. Sie bekommen es auf Ebay für rund 15 Euro. Sollte die Datei, die Sie im virtuellen Windows XP starten oder öffnen harmlos sein, dann können Sie sie bereits dort nutzen. Ist sie aber in Wirklichkeit ein Virus, dann bleibt dieser im virtuellen System gefangen. Eine Anleitung und Tipps für den virtuellen PC finden Sie hier .
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.