Zurück

Wie erkenne ich eine schädliche Datei?

23.08.2013 20:20 von Samuel

Problem

Die meisten Leute heutzutage haben grossen Respekt vor dem Internet und fühlen sich darin nicht mehr sicher. Man hört immer wieder von erfolgreichen “Hacker-Attacken”, Daten Diebstahl und anderen Angriffen.

Ein weiteres Problem ist, dass sehr viele Benutzer ihrem Antiviren Programm vertrauen. Ein Antiviren Programm ist toll und schützt vor bereits bekannter Schadsoftware aber nicht vor neuer Software. Das ist ein sehr wichtiger Punkt, denn somit ist man einem gezielten Angriff vollkommen ausgeliefert. Um Schadsoftware zu erkennen, muss das Antiviren Programm diese Datei schon einmal analysiert und eine Signatur erstellt haben.

Um das Ganze etwas verständlicher darzustellen, habe ich eine kleine Grafik erstellt.

Mögliches Szenario:

  1. Hier sehen wir einen Angreifer der gezielt eine E-Mail an den Benutzer schickt. (03.08.2013)
  2. Der ahnungslose Benutzer nimmt die Datei an (03.08.2013)
  3. Er vertraut seinem Antiviren Programm und scannt es damit (03.08.2013)
  4. Da das Antiviren Programm noch keine Signatur für diese schädliche Datei erstellt hat, wurde diese ausgeführt. (03.08.2013)
  5. Das Antiviren Programm erkannte die Datei als schädlich und wurde gelöscht (10.08.2013)

Sehr wichtig: Auf das Datum achten.

Das Antiviren Programm erkannte die Datei erst am 10.08.2013. Also bevor der Benutzer die Datei erhalten hat. Das sind ganze 7 Tage später. Meistens vergehen Wochen bis die bekannten Hersteller solche Dateien erkennen. Ein Antivirus schützt vor gezielten Angriffen nicht und ist nutzlos.

Ein sehr interessanter Artikel hierzu: Sind Antiviren-Produkte überhaupt noch eine Investition wert?

Daher werde ich hier einige sehr einfache Tipps zur Verfügung stellen, um sich vor Angriffen via E-Mail zu schützen. Einen 100%igen Schutz gibt es nicht. Jedoch kann man die Gefahren relativ gut selber erkennen. Ganz ohne Antivirus.

Regeln

Zuerst muss gesagt werden, dass jeder E-Mails in einem anderen Namen versenden kann. Daher Regel

1. Vertraue keinem Absender, egal ob es dein Arbeitskollege oder sonst irgendwer ist. Die Adresse kann gefälscht sein.

 

Wenn ein E-Mail mit einem Anhang eintrifft, schaue auf die Datei die geschickt wurde.

Hier sehen wir eine Nachricht mit einem Anhang. Eine PDF Datei. Um das zu erkennen können wir mit dem Mauszeiger über die Datei fahren. (Nicht anklicken)

Regel:

2. Klicke nie direkt doppelt auf die Datei

Neues Szenario mit einer neuen Nachricht. Uns fällt direkt auf, dass es sich diesmal um einen anderen Dateityp handelt. Diesmal haben wir eine “.zip” Datei vor uns.

Bei Dateien mit ZIP Endung handelt es sich um komprimierte Archivdateien.

Das heisst, sobald wir diese ZIP Datei öffnen, sehen wir erst den wirklichen Inhalt. Darin kann eine PDF Datei sein. Oder auch nicht. Wenn wir nun das Archiv öffnen, sehen wir folgende Dateien.

Die erste Datei ist nicht wirklich eine PDF Datei. Das sehen wir am Icon und vorallem sehr wichtig: Am Dateityp!

Der Dateityp darf kein ausführbarer Typ sein. Ausführbare Typen sind unter anderem:

  • .exe (Anwendung)
  • .scr (Bildschirmschoner)
  • .bat (Batch Datei)
  • .pif (Verknüpfung)
  • .cmd (Befehlsskript)

Falls die Datei einer dieser Typen ist, sollte man die Datei niemals ausführen.

Das grössere Problem ist wenn die Dateien bereits entpackt und auf dem Desktop abgelegt wurden. Dann sieht das so aus.

Jetzt haben wir ein grosses Problem, denn die PDF Datei sieht auf dem Desktop genau gleich aus wie die schädliche Datei.

Eine sehr einfachte Methode um zu erkennen um welchen Dateityp es sich nun handelt, ist in den Windows Ordner Optionen eine Einstellung zu ändern. Dafür öffnen wir mit der Tastenkombination “Windows+E” den Windows Explorer und gehen dannach auf “Ansicht” und “Optionen”.

Unter Optionen, entfernen wir den Haken bei “Erweiterungen bei bekannten Dateitypen ausblenden“.

Für mich ist es immer noch ein Rätsel warum Windows diese Option standardmässig aktiviert hat. Nun sieht man, dass es sich hier um verschiedene Dateitypen handelt:

Nun ist klar, welche Datei geöffnet werden darf und welche man lieber nicht öffnen sollte. Wir sehen auch, dass man einem Icon nicht vertrauen kann. Jede Anwendung kann jedes Icon verwenden. Auch ein Icon von Word, Excel oder Adobe.

Daher Regel:

3. Vertraue keinem Icon. Icons können ebenfalls gefälscht werden.

Um die Datei nun sicher zu öffnen, sollte man einen Doppelklick vermeiden. Am Besten ist, wenn man die Datei mit Rechtsklick anklickt und das gewünschte Programm, mit welchem es geöffnet werden soll, selber auswählt. Rechtsklick auf Datei, “Öffnen mit” und dann das Programm auswählen.

Demzufolge ist Regel:

4. Verwende immer “öffnen mit..” um Anhänge zu öffnen

Falls die Datei sich nicht öffnen lässt, sollte man sie einfach löschen. Immer noch kein Doppelklick!

Regeln zusammengefasst

Hier nochmal die wichtigsten Regeln um sich vor unerwünschten E-Mail Anhängen zu schützen:

  • Vertraue keinem Absender, egal ob es dein Arbeitskollege oder sonst irgendwer ist. Die Adresse kann gefälscht sein.
  • Klicke nie direkt doppelt auf die Datei
  • Vertraue keinem Icon. Icons können ebenfalls gefälscht werden.
  • Verwende immer “öffnen mit..” um Anhänge zu öffnen

Fazit

Die heutigen Spam Erkennungen und Aussortierungen von E-Mail Anbietern sind nur eine Alibiübung und bringen meistens nichts. Gegen Massenmails schützen sie. Gegen gezielte Mails allerdings nicht.

Bei gepackten Archiven wie “.zip”, “.rar”, “.7zip” usw. immer misstrauisch sein und die oben genannte Schritte durchgehen.

Ein Doppelklick auf die falsche Datei reicht um ein riesen Chaos anzurichten. Daher immer zuerst überlegen, diesen Schritten folgen und dann sollte es keine Probleme geben :-)

Zurück

Einen Kommentar schreiben