Menü
Security

Rückwärts wird ein Virus draus

Von
vorlesen Drucken Kommentare lesen 381 Beiträge

Windows kann Von-Rechts-nach-Links standardmäßig seit Vista.

(Bild: Norman)

Der AV-Hersteller Norman hat Schädlinge entdeckt, die ihren Dateinamen mit speziellen Unicode-Zeichen verschleiern. Dabei zeigt dann das Mail-Programm oder der Windows Explorer etwas wie exe.importantdocument.doc an. Dahinter verbirgt sich jedoch eine ausführbare EXE-Datei, die das System auch nach wie vor als solche behandelt und auf Doppelklick startet.

Als Ursache macht Normans-Virenanalyst Snorre Fagerland Unicode-Steuerzeichen wie 0x202E (right-to-left override) und 0x202B (right-to-left embedding) aus. Richtig im Dateinamen platziert, sorgen sie dafür, dass aus cod.stnemucodtnatropmi.exe plötzlich ein "wichtiges Dokument" wird. Das verräterische "exe" am Anfang lässt sich noch weiter verbergen. So wird aus

[RTLO]cod.yrammusevituc[LTRO]n1c[LTRO].exe

in der Explorer-Anzeige das scheinbar harmlose n1c.executivesummary.doc, das kaum noch Misstrauen erregen dürfte. Das System sieht jedoch immer noch die Dateiendung ".exe" und behandelt die Datei entsprechend.

Auch Ubuntu reagiert auf die Unicode-Steuerzeichen.

Schriften, die von Rechts nach Links zu lesen und anzuzeigen sind, unterstützt Windows seit Vista; unter Windows XP ist dazu ein Erweiterungspaket erforderlich. Doch das Problem ist keineswegs auf Windows beschränkt. Auch Linux kann prinzipiell mit Unicode umgehen und zeigte sich in den Tests von heise Security anfällig für die gleichen Verschleierungstricks. So zeigt etwa das ZIP-Utility und der Eigenschafts-Dialog eines Ubuntu-Desktops (10.4 LTS) ebenfalls eine scheinbare doc-Datei-Datei an, die jedoch als EXE-Datei behandelt und mit Wine verknüpft wird.

Bei MacOS X gehört Unicode-Unterstützung ebenfalls zum Lieferumfang.

Auch Mac OS X zeigte die Zeichen korrekt nach Unicode-Standard an – also in der scheinbar harmlosen DOC-Variante. Allerdings spielen beim Mac und Linux die Dateinamen keine so tragende Rolle wie unter Windows.

Das grundsätzliche Problem ist auch keineswegs neu. Bereits 2007 berichtete heise Security über Täuschende Dateinamen unter Vista – damals allerdings noch als eher theoretisches Risiko. Wie Normans Analysen zeigen, wird der Trick jetzt von Malware-Autoren aufgegriffen und Anwender können sich somit zukünftig nicht mehr auf die angezeigten Dateinamen verlassen. Denn wenn das System beim Anzeigen möglicherweise gleich mehrfach die Richtung wechselt, können höchstens noch Palindrom-Experten erkennen, was da alles drinstecken könnte. (ju)