Hallo,

ich habe ein kleines Verständnisproblem bezüglich einer 'Bilddatei' aus einem 'Kettenbrief'. Nicht aufregen bitte und die Augen verdrehen, erst lesen.

Der Begleittext lautete:

"Entferne für einen Moment dein Profilfoto und stelle diese Kerze der Hoffnung ein. Sende es allen deinen Freunden damit wir für 24 Stunden das selbe Proifilfot haben für alle Covid-19 kranke. So werden wir am schluss sehen wieviele Kerzen angezündet waren."

Schön (damit meine ich bitte nicht, dass ich das Leid der Kranken abtue). Ich weiß, dass 'eigentlich' eine JPG-Datei keine ausführbare Datei ist ('Schadcode' könnte 'theoretisch' von einem bereits vorhandenen Schadprogramm ausgelesen werden).

Nun gibt es bereits einen Hinweis von Mimikama:

https://www.mimikama.at/allgemein/ersetze-bitte-dein-profilfoto-und-setze-die-kerze-der-hoffnung/

Nun wäre die Anfrage eigentlich schon erledigt, weil ich mir oben die Antwort selbst schon gegeben habe und sie von Mimikama bestätigt wird, und ich könnte mir hier die Mühe sparen.


Der Grund, warum ich diesen Sachverhalt erwähne, ist, dass die 'Bilddatei' zwar in Whatsapp sichtbar war, aber nirgendwo als 'Datei' auf meinem Smartphone (Samsung) zu finden war.


Ergebnis vorweg:

Ich kann nicht mit Sicherheit sagen, ob mögliche Schadsoftware an sich eingedrungen ist oder ob die mögliche Schadsoftware vollständig gelöscht worden ist.

Infrage kommende Dateien konnte ich löschen.
Die Whatsapp-Bilddatei ließ sich über Whatsapp löschen.
Zur Sicherheit habe ich ein paar Screenshots während meines Vorgehens gemacht.



Kurze Zeit nach Erhalt der 'Bilddatei' mit der 'brennenden Kerze' erhielt ich vom selben Absender den Hinweis, sie zu löschen, da es sich wohl um "Spam" handle, weil damit Daten entwendet werden können.

Das wollte ich jetzt etwas genauer überprüfen.

Die 'Bilddatei' mit der 'brennenden Kerze' zeigte den Tageszeitstempel "08:05" an, also die korrekte Zeit, als ich die Datei gestern Morgen erhielt.

Ich habe zunächst die vordergründigen Ablageorte von Whatsapp überprüft (mir ist bekannt, dass diese Verzeichnisse mehrfach vorhanden sind). Ich zitiere brav die Verzeichnisse:

Whatsapp\Media\WallPaper\
Whatsapp\Media\WhatsApp Animated Gifs\
Whatsapp\Media\WhatsApp Audio\
Whatsapp\Media\WhatsApp Documents\
Whatsapp\Media\WhatsApp Images\
Whatsapp\Media\WhatsApp Profile Photos\
Whatsapp\Media\WhatsApp Stickers\
Whatsapp\Media\WhatsApp Video\
Whatsapp\Media\WhatsApp Voice Notes\

Ergebnis war eine optisch identische 'Bilddatei' (jpg) mit 'brennender Kerze', die zuvor um "07:20" bereits als Status-Meldung eingegangen war.

Jedoch weder im Samsung-Dateimanager noch im Ghost Commander ließ sich eine 'Bilddatei', die der 'brennenden Kerze' und der Uhrzeit "08:05" entsprach, noch irgendeine Datei mit der Uhrzeit "08:05" in den Verzeichnissen finden.

Da Whatsapp das Datum in den Dateinamen wie bei allen anderen Bildern mit hineinschreibt, habe ich nach "*20200324*" im Ghost Commander und nach "20200324" im Samsung-Dateimanager gesucht.

Ergebnis: Eine Bilddatei, die ich gegen 18:00 Uhr erhalten habe. Für die Uhrzeit "08:05" erschien kein Ergebnis.

Mit Hilfe des Ghost Commander habe ich dann nach allen Dateien ("*.*") nach dem "23.03.2020" (vorgestern) gesucht (und zwar von der höchsten Verzeichnisebene aus).

Neben vielen Ergebnissen fand sich dann endlich eine Datei fünfmal mit der passenden Uhrzeit "08:05" und der Bezeichnung:

97b3c5b5ce3542b8a6e60b0c04f7372c.jpg
22.4K
24.03.2020 08:05

Und zwar in den Verzeichnissen (was ja eigentlich so oder so ähnlich zu erwarten ist):

/sdcard/WhatsApp/Media/
/storage/sdcard0/WhatsApp/Media/
/storage/emulated/legacy/WhatsApp/Media/
/storage/emulated/0/WhatsApp/Media
/mnt/sdcard/WhatsApp/Media/

Merkwürdigerweise wurden diese 'Bilddateien' nicht als Thumbs wie üblich und bei allen anderen in der Vorschau angezeigt. Die 'Bilddatei' aus der Status-Meldung hatte zwar einen ähnlich kryptischen Dateinamen, aber nicht den selben und war außerdem als Vorschaubild vorhanden und ansehbar.

Wenn man die Verzeichnisse (nicht aus der Suche heraus) über die Dateimanager aufrief, wo der Ghost Commander die Datei gefunden hatte, wurde keine wie oben lautende Datei angezeigt.

Ein vollständiger Scan mit einem Antiviren-Programm ergab: keinen Fund.

Ich habe mich dann entschlossen, die 'Bilddateien' über den Ghost Commander zu löschen.

Eine Suche nach dem Löschen der 'Bilddateien' mit dem Ghost Commander nach "*c04f7372c.jpg" ergab: keine Ergebnisse.

Die 'Bilddatei' mit der 'brennende Kerze' sollte also in Whatsapp nicht mehr sichtbar sein - war sie aber noch (?!).

Eine nochmaliger Suchlauf nach Dateien ("*.*") nach dem "23.03.2020" ergab: keine Ergebnisse mit einer Datei und der Uhrzeit "08:05".

Laut Suche befand sich keine Datei mit der Uhrzeit "08:05" irgendwo auf dem Smartphone.

Wie konnte ich dann die Datei sehen, wenn es keine Datei und schon gar keine 'Bilddatei' mit dieser Uhrzeit (oder auch nur in zeitlicher Nähe) gab?

Sie wurde auch nicht (meines Wissens nach) erneut aus dem Internet aufgerufen.

Ich habe dann die Nachricht mit der 'Bilddatei' über Whatsapp gelöscht.

Die 'Bilddatei' wird in Whatsapp nicht mehr aufgerufen.

Ich habe keine vernünftige Erklärung. Wenn jemand eine hat, bitte ich um Rückmeldung. Ansonsten möge diese Anfrage als Anekdote der Belanglosigkeit in den Weiten des Internets zur ewigen Ruhe sinken. Danke.

Zitat:

Ergebnis vorweg:

Ich kann nicht mit Sicherheit sagen, ob mögliche Schadsoftware an sich eingedrungen ist oder ob die mögliche Schadsoftware vollständig gelöscht worden ist.

Dann einfach das Smartphone in die Werksteinstellungen zurückversetzen und das Thema ist durch.