Technologie einfach erklärt

Wie Bilder Ihren Computer über soziale Medien infizieren können

Wenn Sie moderat technikaffin sind, denken Sie normalerweise, wenn Sie von einem infizierten System hören, an ein ausführbares Stück Code, das irgendwie seine sichersten Funktionen übernommen hat. Infektionen können auf viele Arten verbreitet werden, aber eines bleibt sicher: Die Verbindung zwischen Viren und ausführbarem Code ist so stark, dass wir nicht unbedingt glauben, uns vor Dateitypen wie JPEGs, PNG-Bildern und MP3-Dateien schützen zu müssen. Oder etwa doch? Im Gegensatz zu dieser vorherigen Behauptung wurden die ersten beiden von mir genannten Dateitypen verwendet, um Computer über soziale Medien-Nachrichtensysteme auf Facebook und LinkedIn zu infizieren, wie Jon Fingas am 27. November 2016 für Engadget berichtete.

Was ist los?

lockymalware-email

Am 18. Februar 2016 fand Symantec ein ziemlich seltsames Stück Software, das sich als eine neue Variante von Ransomware herausstellte, die sich im Internet verbreitete (wenn Sie nicht wissen, was Ransomware ist, lesen Sie dies). Diese spezielle Variante – bekannt als Locky – verbreitete sich zwischen Januar und März 2016 durch Spam-E-Mails mit Anhängen in einer Rate von etwa zehn bis zwanzigtausend Opfern pro Woche. Es ist nicht unbedingt schockierend, Viren auf diese Weise verbreitet zu sehen. E-Mail-Nachrichten mit ZIP-Anhängen sind seit den frühen 90er Jahren die bevorzugte Impfstrategie.

Dann geschah etwas anderes.

Gegen Ende November 2016 begannen Benutzer auf Facebook und LinkedIn, Nachrichten mit Bildanhängen zu sehen. Sie scheinen ziemlich sicher zu sein, aber wenn sie geöffnet werden, enthüllen sie eine neue Variante von Locky, die die Dateien des Systems verschlüsselt und sie nur entsperrt, wenn das Opfer ein Lösegeld von irgendwo zwischen 200 und 400 US-Dollar bezahlt. Der schockierendste Teil daran war, dass sich der Virus durch Bilder und nicht durch konventionellen ausgeführten Code verbreitete.

Nicht alles ist, wie es scheint

lockymalware-facebook

Obwohl Bilder sicherlich verwendet werden, um Menschen in sozialen Medien zu infizieren, ist es nicht ganz so, wie es aussieht! Ich habe einen etwas tieferen Blick auf den Mechanismus von Locky und seine glitschigen Wege geworfen, und es sieht so aus, als ob die Geschichte mehr zu bieten hat als eine Menge JPEGs, die “es auf dich abgesehen haben.”

Zunächst einmal ist das, was Sie verteilen, wenn Sie die Malware an jemanden senden, der Eindruck, dass Sie jemandem ein Bild in sozialen Medien geben. Es gibt einen Fehler im Code von Facebook und LinkedIn, der es ermöglicht, dass bestimmte Dateien mit dem Bildsymbol übertragen werden, was den Empfänger glauben lässt, dass er ein harmloses Bild von der Katze eines Freundes oder einem neuen Garten erhalten hat. Was der Empfänger tatsächlich herunterlädt, ist eine HTA-Datei, ein sehr altes ausführbares Programm für Windows, das seit 1999 existiert (ein weiterer Punkt auf der Liste der Gründe, warum Software in den 90ern völlig verrückt war).

Im Grunde genommen sind HTA-Anwendungen wie EXEs, außer dass sie auf “mshta.exe” aufgesetzt sind und von Administratoren verwendet wurden, um schnell Änderungen an Systemen vorzunehmen. Da sie das volle “Vertrauen” des Systems haben, auf dem sie ausgeführt werden, können sie jede Menge Chaos anrichten, die ihr Code zulässt.

Wie man eine Infektion verhindert

Sobald Sie mit Locky infiziert sind, gibt es nicht viel, was Sie tun können, außer zu hoffen, dass Sie eine Anti-Malware-Anwendung finden, die es entfernen kann, während Sie im abgesicherten Modus gestartet sind. Aber die Infektion von vornherein zu verhindern, ist ziemlich einfach. Wenn Sie eine Bilddatei auf Facebook erhalten und sie keine Vorschau wie das Bild unten hat, werden Sie wahrscheinlich aufgefordert, sie herunterzuladen.

lockymalware-preview

Sobald Sie die Datei heruntergeladen haben, überprüfen Sie ihre Erweiterung. Wenn dort nicht JPG, JPEG, PNG oder etwas steht, das wie ein Bild aussieht, ist es wahrscheinlich ein Virus. Wir haben Locky im HTA-Format gesehen, aber es könnte auch in anderen Arten von ausführbarem Code erscheinen (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI usw.). Achten Sie einfach auf die Dateierweiterungen und seien Sie vorsichtig bei allem, was Sie nicht erkennen. Eine sichere Möglichkeit zu überprüfen, ob die Datei, die Sie erhalten haben, ein Bild ist, besteht darin, zu sehen, ob der Windows-Explorer Ihnen eine Vorschau anzeigt, wenn Sie den Anzeige-Stil auf “Große Symbole” ändern.

Haben Sie noch andere nützliche Ratschläge zu teilen? Lassen Sie es uns in einem Kommentar wissen!

Inhalt

  1. Was ist los?
  2. Nicht alles ist, wie es scheint
  3. Wie man eine Infektion verhindert
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11