25976

Code

11.12.2007 | 10:30 Uhr | Hermann Apfelböck, Christian Löbering

Von wegen Web-Adresse: Mit der Extension COM lässt sich eine URL vorzutäuschen.
Vergrößern Von wegen Web-Adresse: Mit der Extension COM lässt sich eine URL vorzutäuschen.
© 2014

1. Maschinencode: Die Endungen EXE und COM
Diese nicht lesbaren und somit nicht kontrollierbaren Binärformate sind die größte Gefahr für Ihr System. Einmal im Speicher, hat das Programm die volle Kontrolle - es kann also nicht nur unmittelbaren Schaden anrichten, sondern auch das System über die aktuelle Sitzung hinaus permanent beeinflussen. Komplexe Viren und Backdoor-Programme basieren meistens auf solchem Maschinencode, einfachere Viren können auch Scriptlösungen verwenden.

Die Endung COM stand ursprünglich für kleinere Assembler-Programme bis maximal 64 KB, erlaubt aber heute auch das Starten jedes DOS- oder Windows-Programms. Eine Unterscheidung zwischen dem Gefahrenpotenzial von EXE und COM ist damit hinfällig. Die Extension COM bei Schädlingen ist also ein plumpe, aber psychologisch wirkungsvolle Tarnmöglichkeit: Ein Attachment „www.myparty.yahoo.com“ enthält dann (EXE- oder COM-)Maschinencode und nicht etwa einen Internet-Link. Diverse EXE-Viren verzichten aber noch heute auf jede Tarnung und vertrauen auf die Wirkung von Dateinamen wie README.EXE oder PASSWORD.EXE.

2. Getarnter Maschinencode: Die Endungen PIF und SCR
Die Endungen PIF und SCR werden derzeit am häufigsten zum Tarnen von Schädlingen eingesetzt. Die Extension SCR verspricht eigentlich einen Screensaver, erlaubt allerdings auch das Ausführen jedes anderen Win32-Maschinencodes (etwa EXE). Bei PIF (Program Information File) verhält es sich ähnlich. Der Rechner CALC.EXE startet auch dann, wenn er in CALC.PIF umbenannt wurde. Die zur Tarnung besonders beliebte Endung PIF hat die Eigenart - anders als SCR und ungetarnte EXE- oder COM-Dateien -, unter Windows grundsätzlich nicht angezeigt zu werden. Das hat Virenprogrammierer zu typischen Mailanhängen wie HAMSTER.DOC.PIF animiert. Der Anwender sieht eine Word-Datei „HAMSTER.DOC“, was er ausführt, ist hingegen ein EXE-Programm.

PC-WELT Marktplatz

25976