Antiviren-Hersteller bieten kostenlosen LNK-Schutz [2.Update]

Angesichts sich ausbreitender LNK-Schädlinge ist es allerhöchste Zeit sich zu schützen. Mit G Data und Sophos springen gleich zwei AV-Hersteller in die Lücke, die der ausbleibende Patch von Microsoft hinterlässt.

Das G-Data-Tool ersetzt das Icon gefährlicher LNK-Dateien. Microsoft empfiehlt bisher als Schutz ein so genanntes Fix-it, das die Anzeige aller Link-Icons abschaltet. Damit wird die Arbeitsumgebung aber an einigen Stellen reichlich unübersichtlich. Deshalb gehen die Tools der Antiviren-Hersteller selektiver zu Werke. Sie installieren einen eigenen Icon-Handler für LNK-Dateien, der die Anzeige nur bei gefährlichen Links blockiert.

Beim G Data LNK-Checker funktionierte dies in unseren Kurztests zuverlässig. Bei allen getesteten Demo-Exploits erschien ein Einfahrt-Verboten-Schild als Icon, während die normalen Verweise auch ganz normal funktionierten. Allerdings ist es auch weiterhin möglich, bösartige LNK-Dateien anzuklicken und den Schädling damit manuell zu starten. Das muss dann ein Virenwächter blockieren.

[Update: Wie sich herausgestellt hat, erkennt der G Data LNK-Checker auf manchen Systemen alle Links auf die Systemsteuerung als Gefahr. Man kann dies einfach überprüfen, indem man den Eintrag aus dem Start-Menü auf den Desktop zieht. G Data versieht den Link dann fälschlicherweise mit dem Verbots-Icon. 2.Update: Eine aktualisierte Version zeigt diese Fehlalarme nicht mehr, warnte aber weiterhin vor allen Demo-Exploits.]

Das Shortcut Exploit Protection Tool von Sophos versucht ebenfalls, bösartige LNK-Dateien abzufangen und präsentiert statt dem Icon ein Warnfenster mit dem Text:

Potential exploit found in shortcut [name.lnk].
Prevented launching file [name.lnk] 

Das Sophos-Tool schützt nicht in allen Fällen. Hier startet eine LNK-Datei auf einem USB-Stick ein Programm. Allerdings schützt dieses Tool nur begrenzt. So springt es laut Dokumentation grundsätzlich nicht auf Dateien an, die sich auf lokalen Festplatten befinden. Dies erlaubt es weiterhin, sich etwa durch das Auspacken eines ZIP-Archivs zu infizieren. Außerdem konnte im Kurztest ein Demo-LNK-Exploit auf einem USB-Stick weiterhin Programme auf der lokalen Festplatte starten, was ebenfalls ein unnötiges Risiko darstellt. Graham Cluley von Sophos bestätigte dieses Verhalten auf Nachfragen als konzeptbedingt.

Beide Tools arbeiten unabhängig von der installierten AV-Software. Sie ließen sich im Rahmen des Kurztests reibungslos installieren und durch einen zweiten Aufruf des Installers auch wieder entfernen. Wie auch das Fix-it von Microsoft haben jedoch beide Tools ihre Nachteile.

Dass man sich schützen sollte, machen auch die langsam bekannt werdenden Fälle mit konkreten Infektionen deutlich. So bestätigte die Pressesprecherin Helen Däuwel der Daimler AG gegenüber heise Security Berichte über Viren-Probleme im Firmennetz des Autobauers. Die Ausbreitung eines Virus namens W32.Changeup führte letzte Woche zur Abschaltung mehrerer File-Server. In wenigen Fällen – Däuwel sprach von weniger als 1 Prozent – sei dabei auch die Variante W32.Changeup.C gesichtet worden, die unter anderem die LNK-Lücke ausnutzt. Wie der Wurm ins Netz kam, wollte die Sprecherin nicht kommentieren, die Situation sei aber mittlerweile wieder unter Kontrolle. (ju)