25976

Interpretierter Code

11.12.2007 | 10:30 Uhr | Hermann Apfelböck, Christian Löbering

3. Interpretierter Scriptcode: Die Endungen VBS, HTM & Co .
Bei Dateien mit den Endungen HTA, HTM, HTML, JS, JSE, VBS, VBE und WSF handelt es sich um Scriptcode im einfachen Ansi-Textformat. Abgesehen von VBE und JSE („e“ für „encoded“) ist er einsehbar und damit für Kundige immerhin lesbar. Der Aktionsradius dieser Scripts entspricht etwa dem von VBA-Makros. Dennoch sind sie weitaus gefährlicher, weil der zuständige Script-Interpreter (Windows Scripting Host oder Internet Explorer) sie ohne Vorwarnung ausführt. Wesentliche Unterschiede im Gefahrenpotenzial bestehen nicht, da schädliche HTA- oder HTML-Dateien in der Regel VB-Script oder J-Script einbinden, um an ihr Ziel zu gelangen. Allerdings ist HTA-oder HTML-Code hinter jeder beliebigen Erweiterung tarnbar, wenn es dem Programmierer gelingt, den Code über einen Link (sinngemäß: „iexplore <Codedatei>“) direkt an den Browser zu übergeben. Für VB-Script und J-Script gibt es hingegen keinerlei Tarnkappen, weil der Scripting Host jede andere Extension strikt ablehnt. Virenprogrammierer können daher lediglich auf eine weit verbreitete Einstellung des Windows-Explorers vertrauen, die bekannte Extensionen ausblendet. Sie nennen dann das Attachment etwa Love-Letter-For-You.TXT.VBS - im angesprochenen Beispiel mit bestem Erfolg.

Schon wieder der Windows-Rechner! Aufgerufen haben wirdie AUTOEXEC.BAT, deren Größe allerdings schon hätte auffallen können. In Wirklichkeit handelt es sich erneut um CALC.EXE
Vergrößern Schon wieder der Windows-Rechner! Aufgerufen haben wirdie AUTOEXEC.BAT, deren Größe allerdings schon hätte auffallen können. In Wirklichkeit handelt es sich erneut um CALC.EXE
© 2014

4. Interpretierte (VBA-)Makros: Office-Dateien DOC, XLS & Co.
Die Gefahr durch VBA-Makroviren in DOC-, XLS-, PPT- und MDB-Dateien ist deutlich gesunken, seit Microsoft den Makrovirus-Schutz in die Office-Programme integriert hat („Extras, Makro, Sicherheit“). Bei der entsprechenden Stufe werden selbststartende „AutoOpen“-Makros gar nicht mehr („Hoch“) oder erst nach expliziter Erlaubnis („Mittel“) ausgeführt. Mit Office 2000 und XP ist es außerdem nicht mehr möglich, diesen Schutz zu umgehen, indem ein „AutoOpen“-Makro indirekt über eine verknüpfte Vorlage aufgerufen wird. Nur in Word darf die globale Vorlage NORMAL.DOT noch den Makrovirus-Schutz durchbrechen. Das scheint aber unbedenklich, da die Datei lokal gespeichert ist.

Sind Office-Dateien bei aktiviertem Schutz demnach sicher? Sagen wir: relativ sicher. Es genügt ein winziger Registry-Import unter „Hkey_Users\.Default \Software\Microsoft\Office.0\Word\Security“, um den Makrovirus-Schutz etwa in Word mit dem folgenden Eintrag auszuhebeln:

"Level"=dword:00000001

Allerdings müsste es dem Virenprogrammierer gelingen, zwei Aktionen zu koppeln: erst mit dem Registry-Import den Schutz abzuschalten und danach Word mit der Makrodatei zu laden. Theoretisch ist das möglich - wie unsere Demo („Ex-tensions-Test“ Verzeichnis „Virdemo“) belegt. Praktisch - und Virenprogrammierer denken sehr praktisch -ist es nicht.

Achtung: Seit Office 2000 genießen Word und Excel einen besonderen Status unter Windows. Bei allen nicht registrierten Endungen sieht der Windows-Explorer nach, ob es sich bei einer Datei um das Word- oder Excel-Format handelt. Ist das der Fall, lädt der Explorer die Datei in der passenden Office-Anwendung. Steht der Makrovirus-Schutz auf „Niedrig“, droht somit von jeder beliebigen Fantasie-Endung Gefahr.

Unregistrierte Extensionen: Ab Office 2000 prüft der Windows-Explorer fremdartige Dateien binär. Handelt es sich um das Word- oder Excel-Format, kann gefährlicher Makrocode ausgeführtwerden.
Vergrößern Unregistrierte Extensionen: Ab Office 2000 prüft der Windows-Explorer fremdartige Dateien binär. Handelt es sich um das Word- oder Excel-Format, kann gefährlicher Makrocode ausgeführtwerden.
© 2014

5. Interpretierter DOS-Code: Batches (BAT, CMD)
Batchdateien sind einfache Textdateien mit beliebig vielen Kommandos. Sie werden beim Doppelklick sofort abgearbeitet. Eigentlich waren Batchdateien als Kommandostapel für DOS-Befehle gedacht, mit zusätzlichen primitiven „If“-und „Goto“-Strukturen. Die Reichweite ist inzwischen jedoch erheblich größer, da neben den Befehlen des Kommando-Interpreters (Command oder CMD) und DOS-Programmen auch Windows-Befehle wie Registry-Importe oder Rundll-Aufrufe möglich sind. Der Doppelklick auf unbekannte BAT-Dateien kann daher erheblichen Schaden anrichten, aber auch weniger offensichtliche, dezente Konfigurationsänderungen auslösen. Für komplexe, sich reproduzierende Viren reicht die simple Batchsprache aber in aller Regel nicht aus. Wer Batchdateien zu lesen versteht, sollte vor dem Start den gesamten (!) Inhalt prüfen: Schädliche Kommandos können beispielsweise auch nach hundert Leerzeilen oder in einer scheinbar leeren Zeile nach etlichen Leerzeichen stehen.

Achtung: Unter Windows 98/ME und 2000 (nicht unter 95 und XP) hat sich ein bemerkenswerter Fehler eingeschlichen. Wird ein EXE-Programm so umbenannt, dass es die Extension BAT trägt, startet auf Doppelklick - wie bei PIF und SCR - direkt das Programm. Das potenziert das Risiko bei der an sich schon gefährlichen Extension BAT.

Achtung: Batchbefehle lassen sich ohne große Mühe maskieren. Angenommen, in einer Datei VieleGruesse.DOC, die durchaus normalen Grußtext enthalten kann, befindet sich eine Reihe von Batchkommandos. Diese können trotz der Endung DOC direkt in den Interpreter CMD oder Command gelenkt („gepiped“) werden:

cmd.exe < VieleGruesse.doc

Das ist gleichbedeutend mit dem Doppelklick auf eine VieleGruesse.BAT gleichen Inhalts. In einer Verknüpfung würde folgende Syntax

cmd.exe /c cmd.exe < Viele Gruesse.doc

zum Einlesen der harmlos klingenden DOC-Datei führen.

PC-WELT Marktplatz

25976