25976

Reg und SHS

11.12.2007 | 10:30 Uhr | Hermann Apfelböck, Christian Löbering

6. Registry-Import: Die Endung REG
Export-/Importdateien für die Registry tragen die Endung REG und sind standardmäßig so mit dem Registry-Editor REGEDIT.EXE verknüpft, dass dieser sie beim Doppelklick einliest. Allerdings erscheint vorher ein Abfrage-Dialog, außerdem ist das Ausmaß des Imports mit jedem Editor einigermaßen nachvollziehbar. Gut getarnte Registry-Eingriffe verlassen sich daher nicht auf den Doppelklick des Anwenders. Die gewünschte Registry-Änderung geschieht oft per Programm oder Script. Auch der Weg über einen Link verspricht besseren Erfolg, weil dann sowohl die verräterische Endung REG als auch die Sicherheitsabfrage vermieden wird (> Punkt 9).

Gelingt der Import, sind die Auswirkungen beträchtlich. Typisch ist die Methode von Viren, sich den eigenen Start bei jedem Windows-Start über den Run-Schlüssel zu sichern. Typisch ist ferner das Abschalten diverser Sicherheitsstandards, um dem Schädling alle Barrieren wegzuräumen. Registry-Eingriffe haben dennoch meist lediglich vorbereitenden und begleitenden Charakter.

Nurscheinbar harmlos: DerDatenauszug enthälteinen ganzgroben Format-Trojaner, derbei Doppelklick sofort ausgeführtworden wäre. Im Objekt-Managergibterseinen wahren Inhaltpreis
Vergrößern Nurscheinbar harmlos: DerDatenauszug enthälteinen ganzgroben Format-Trojaner, derbei Doppelklick sofort ausgeführtworden wäre. Im Objekt-Managergibterseinen wahren Inhaltpreis
© 2014

7. Isolierte Pakete: DOC-Auszüge SHS und SHB
Dokumentauszüge (Shellscraps) sind an sich harmlose Textschnipsel: Der Anwender markiert einen Teil einer Word-Datei und zieht ihn auf den Desktop oder in ein Windows-Explorer-Fenster. Damit erspart er sich, für den Textteil in Word eine eigene Datei anzulegen. Solche Auszüge bergen ein Sicherheitsrisiko. Es ist nämlich ebenso gut möglich, in Word ein „Paket“ („Einfügen, Objekt, Paket“) mit einer DOS- oder Windows-Befehlszeile anzulegen und dann dieses Paket als Scrap abzulegen. Das als Datei isolierte Paket sieht aus wie ein harmloser Textauszug, startet aber ohne Vorwarnung den enthaltenen Befehl. In Word selbst warnt die Textverarbeitung vor möglichen Risiken.

Die Reichweite solcher SHS- oder SHB-Anschläge ist auf einen einzigen Programmbefehl begrenzt, der außerdem auf dem lokalen Rechner möglichst ohne explizite Pfadangaben auskommen muss. Komplexere Konstruktionen oder gar Viren sind damit kaum möglich. Der Schaden kann aber besonders beim Einsatz von DOS-Löschbefehlen (Deltree, „del /s“ unter CMD.EXE) vernichtend ausfallen.

Unsere Empfehlung: In der Detailansicht liefert die Spalte „Typ“ Auskunft über den Dateityp. Dateien von der Sorte „Dokumentauszüge“ ziehen Sie in ein Word-Fenster. Dort wird sofort ersichtlich, ob es sich um harmlosen Text oder um ein gefährliches Objekt handelt.

PC-WELT Marktplatz

25976