Dateianhänge

Ein Großteil der aktuellen Viren kursiert in Form von E-Mail-Attachments. Mit diversen Tricks überwinden die Schädlinge Virenscanner. So verbreiten sich diverse Viren in Form verschlüsselter Archive. Das Passwort findet sich im E-Mail-Text oder in einem beigefügten Bild.

Der wichtigste Grundsatz für den sicheren Umgang mit E-Mails lautet daher, niemals einen Dateianhang zu öffnen, den man nicht angefordert hat. Es genügt nicht, den Absender zu kennen. Viren und Würmer durchsuchen befallene PCs nach E-Mail-Adressen, an die sie sich unter falscher Absenderadresse weiterversenden. So können auch E-Mails, die vermeintlich von Kollegen oder Verwandten zu stammen scheinen, von Viren oder Würmern herrühren und ihrerseits Schädlinge enthalten. Idealerweise spricht man sich daher vor dem Versand eines Attachments ab.

Wer eine unerwartete E-Mail mit Dateianhang erhält, sollte sich vergewissern, dass die Nachricht auch tatsächlich vom angegebenen Absender stammt, zum Beispiel indem er ihn per E-Mail um Bestätigung bittet oder anruft. Das nimmt zwar dem Medium E-Mail einen Teil seiner Effizienz und Direktheit; ein kurzer Anruf ist aber immer noch besser, als aufwendig den PC entwanzen zu müssen.

Die Tricks von Emotet & Co

Antivirenprogramme vermögen nicht alle Schädlinge abzufangen. Besonders gefährdet ist, wer zum Beispiel aus beruflichen Gründen mit gefährlichen Dateitypen hantieren muss. Dazu zählen insbesondere Office-Dokumente, die etwa über Makros den PC des Empfänger infizieren können. Der Schädling Emotet nutzt diese Methode sehr erfolgreich.

Firmen, die auf Nummer sicher gehen wollen, sperren deshalb den Empfang von Office-Dateien zumindest dann, wenn sie Makros enthalten. Das BSI liefert Empfehlungen zur sicheren Konfiguration von MS-Office; eine Alternative ist der Einsatz von Open-Source-Programmen wie LibreOffice, das für die Emotet-Tricks nicht anfällig ist.

In der Vergangenheit haben Virenautoren immer wieder versucht, mit einer doppelten Dateierweiterung den wahren Charakter ihrer Schädlinge zu verschleiern. Der E-Mail-Wurm ILOVEYOU war das klassiche Beispiel dafür. Er verbreitete sich in Form eines VB-Script-Programms mit dem Namen LOVE-LETTER-FOR-YOU.TXT.vbs. Manche Mail-Clients haben die .VBS-Dateierweiterung nicht angezeigt, das Skript je nach Systemkonfiguration aber dennoch gestartet.

Um solchen Tricks vorzubeugen, sollte man Windows so konfigurieren, dass das Betriebsystem alle Dateierweiterungen anzeigt. Dazu ruft man zunächst im Windows-Explorer den Menübefehl Extras\Ordneroptionen auf und klickt auf die Seite "Ansicht".

Eine effektive Methode zum Schutz vor versehentlichen Doppelklicks ist es, die gefährlichen Dateitypen mit anderen Applikationen zu verknüpfen. .js-Dateien beispielsweise verknüpft man mit einem Texteditor (zum Beispiel Notepad.exe), sodass der Windows Script Host sie beim Anklicken nicht automatisch ausführt. Das gleiche empfiehlt sich auch für andere typische Wurm-Überträger wie .scr (Windows-Bildschirmschoner) sowie diverse Skript-Dateien (.vbs, .wcs, .wbs, .wsh, .wsf, .vbe).

Die Änderung erfolgt über die Ordneroptionen des Explorers, die dort je nach Windows-Version unter "Extras" oder unter "Ansicht" zu finden sind. Hier zeigt Windows unter dem gleichnamigen Reiter alle ihm bekannten Dateitypen an. Man braucht lediglich die Standard-Aktion von "Öffnen" auf "Bearbeiten" zu ändern. Dazu markiert man zuerst den gewünschten Dateityp, klickt dann auf "Erweitert", markiert dort wieder "Bearbeiten" und klickt schließlich auf "Als Standard". Nun öffnet ein Doppelklick auf die Datei das ungefährliche Notepad, zur Ausführung kommt sie hingegen erst nach dem Aufruf von "Öffnen" in ihrem Kontextmenü.