Grundsätzliches zu Viren, Bakterien und anderem Gefleuchs...
 

Hallo zusammen,

vorweg: Nein, ich habe keinen Virus und möchte euch auch nicht um dessen Beseitigung bitten.

Es geht mir um ein paar grundsätzliche Punkte zum Risiko das von solcher (ich fasse es mal pauschal unter diesem Begriff zusammen) Malware ausgeht - bzw. darum _WANN_ es überhaupt davon ausgeht. Ich bin mir sicher, dass diese Aussagen in der Vergangenheit mal richtig waren - unsicher aber, ob sie noch immer Bestand haben.

Könnte ihr bitte folgende Behauptungen kurz bestätigen oder dementieren:

1. Solange man eine Malware-behaftete (~verseuchte) Datei nur kopiert - besteht keinerlei Risiko.
Beispiel: Ich lade mir ein Word-Dokument aus dem Netz, die Schadcode enthält (=Ein Virenscanner würde sie als gefährlich einstufen) und kopiere sie aus dem Download-Ordner auf den Desktop --> Kein Risiko, reines kopieren

2. Von einer Malware-behafteten Datei die einfach nur auf der Platte rumliegt, geht soweit erst einmal überhaupt keine Gefahr aus.
Beispiel: Das Word Dokument kann 5 Jahre an 10 Stellen auf der Platte liegen... - ich muss zu keinem Zeitpunkt damit rechnen, das diese Malware "aktiv" wird.

3. Malware-behaftete Dateien sind erst dann "gefährlich", wenn sie in einer dafür geeigneten Ablaufumgebung (=eine Umgebung in der der Schadcode interpretierung + als solcher ausgeführt werden kann) geladen/ausgeführt werden.
Beispiel: Ich öffne das Word-Dokument mit "notepad". Ok, jede Menge Sonderzeichen - aber kein Risiko.

Ein anderes Beispiel: Ich hab schon häufiger erlebt, das im Temp-Ordner des IE (bitte nicht über IE diskutieren!) Viren mit .htm-Endung gefunden werden. Solange diese Dateien dummes HTML enthalten (und evtl. darin nur der Schadcode auf den der Scanner angesprochen hat, in HTML runtergeschrieben steht), geht von ihnen 0 Risiko aus. Dieser Virus wird erst dann ein Problem, wenn er Browserfunktionen nutzen kann, die Zugriff auf das System haben (z.B. ActiveX, oder löchrige Java-Sandbox,JS,Image-Parser,etc).

Danke für eure Kommentare im voraus.

[QUOTE=MacMac;335832]Hallo zusammen,

vorweg: Nein, ich habe keinen Virus und möchte euch auch nicht um dessen Beseitigung bitten.

Es geht mir um ein paar grundsätzliche Punkte zum Risiko das von solcher (ich fasse es mal pauschal unter diesem Begriff zusammen) Malware ausgeht - bzw. darum _WANN_ es überhaupt davon ausgeht. Ich bin mir sicher, dass diese Aussagen in der Vergangenheit mal richtig waren - unsicher aber, ob sie noch immer Bestand haben.

Könnte ihr bitte folgende Behauptungen kurz bestätigen oder dementieren:

1.
NEIN, die Verbreitungsmethoden sind heutzutage manigfacher. Dateien kommen duch Sicherheitslücken auf den Rechner und werden automatisch ausgeführt, oder Programme (Browser, Email) starten die Datei beim arbeiten.

2.
Nein, dritte können sich Zugang zu der Datei verschaffen, über die in 1 angeführrten Sicherheitslücken und diese dann starten. (Dropper ähnliches Verhalten, schon vorgekommen)

3.
NEIN. Windows ist eine geeignete Plattform. Je nach Einstellung Deines Systems, denkst Du es ist ein Word Dokument, in Wahrheit ist es aber eine .exe Datei.

4
Dann frag Dich mal, durch welche Browserfunktion der HTML Code auf Deine Platte gekommen ist.

:)

Hi BetaAlexander,

erst mal vielen Dank für deine Antworten.
Leider gehen diese nicht gezielt auf meine Fragen ein, und helfen mir damit nur bedingt weiter :(

Wie die Malware auf den Rechner kommt, war ja nicht Inhalt meiner Frage, sondern ob das pure (im Zweifelsfalle manuell) kopieren bereits ein Risiko darstellt... - Das Einfalltor "Sicherheitslücke" habe ich ja in meinem Nachsatz (Punkt 4.) aufgegriffen.

Ok - das diese dann von einer anderen Malware (womit wir wieder am Anfang wären) aktiviert werden könnten - ist sicher richtig. Allein durch das rumliegen (ohne dass ein dritter sie aktiviert) geht aber keine Gefahr aus, oder? Selbstaktivierende (aber nicht bereits geladene) viren gibt es sicherlich noch immer nicht, oder?!

Aber dann wird der Virus doch in einer geeigneten Umgebung ausgeführt (vorausgesetzt, es ist ein selbtlaufender Virus). Ein Office-Makro-Virus könnte von Windows z.B. nicht ausgefürht werden, weil die Ausführungsumgebung (näm lich VB(A)) fehlt. Ich kann auch wahrscheinlich einen beliebigen Virus mit notepad öffnen, ohne das davon eine gefahr ausgeht, oder? (Vorausgesetzt "notepad" hat keine löcher/überläufe,etc).

Darum ging es in der Frage aber nicht, oder? Es ging darum, dass auch solche Dateien ungefährlich sind, solange sie nur Code enthalten der in einer Sandbox ohne Systemzugriff laufen. Zudem erwarte ich eigentlich, dass mein Browser Dateien auf der Platte vorhält... - nennt sich Cache, und ist sicherlich kein Virus ;)

Irgendwie doch oder. :rolleyes:
Es kann durchaus sein, dass eine präparierte Word Datei beim herunterladen den Rechner infiziert.
Solange die Datei nicht autoexec.bat oder winstart.bat heißt sollte dieser Satz seine Richtigkeit haben.
3. Solange die Datei auch der Typ ist, die sie vorgibt zu sein, stimmt dies.
Sollte Dein System so eingestellt sein, dass bekannte Dateiendung ausgeblendet werden, wird Dir eine böseDatei.pdf.exe als böseDatei.pdf angezeigt.
4. Sag mir erst mal, was dummes HTML ist. Und eine Sandbox ist was anderes als ein Browserumgebung. :)

Ok - kannst du das bitte ein wenig ausführen?
Unter welchen Umständen? (Davon ausgehend, das der Browser keine Plugins hat, die meinen die Datei schon verarbeiten zu müssen (beim Download) und das das Dokument einfach nur gespeichert und nicht an Word übergeben wird...)

Naja - selbst dann wird die Datei ja von "wem dritten" nämlich Windows getriggert :)

Ich hatte meine letzte Anwort schonmal (sehr viel ausführlicher) geschrieben, und dann verheidelt sie abzuschicken. Darin hatte ich auch rückgefragt, wie sich denn eine Datei als was anderes ausgeben kann, da Windows Dateitypen nunmal an der Endung identifiziert. In dem Zusammenhang hatte ich auch geschrieben, dass ich Microsofts "Ich-halte-meine-Kunden-für-unfähig-eine-Datei-richtig-umzubennen"-Funktion eher für Verwirrfaktor halte, der genau solche Malware-Mätzchen begünstigt.
Kurz: D'accord.

Dummes HTML = Eine reine Auszeichnungssprache ohne eigene Funktionalität.
Während man mit JS z.B. schon gezielt Abläufe steuern kann (und somit eine gewisse "intelligenz" implementieren kann) - ist HTML eine reine Markierungssprache - und somit selbst extem funktionsfrei. Ja - du hast Recht: Auch bei JS steckt die "Intelligenz" nicht im Ascii-Code sondern im Parser.

Sandbox = Eine in sich vollständig geschlosse (Laufzeit)-Umgebung die keine direkte und unkontrollierte interaktion mit der "Außenwelt" zuläßt. Eben im Sinne einer Sandbox wie sie im Zusammenhang mit Java-Applets bekannt ist :). Warum ist eine Browserumgebung etwas anderes? HTML, JS, JAVA (im Browser), Flash, etc. sollten (!) alle eigentlich genau in diesem Sandbox-Prinzip aggieren - nämlich ohne z.B. selber Dateien von der Platte lesen - geschweige denn Schreibne zu können (es sei denn dies geschieht kontrolliert, wie z.B. bei Cookies).

beim Handling im Browser kann es zu Problemen führen, so dass die Datei ausgeführt wird. Allerdings muss die Datei dann auch hierfür geeignet sein.
Neben den "offensichtlichen Gefährlichen" Dateien gib es durchaus auch andere, die mit Schadcode zusammengepackt wurden und sich als z.B. Bild ausgeben.

Natürlich ist eine Schaddatei in einer Sandbox weniger gefährlich als in einem "offenen" Browser. Das war aber nicht Teil der ersten Frage.

Alles weitere führt hier etwas zu weit, da konkrete Beispspiele/Anwendungsfall fehlen.

Dumm ist HTML wahrlich nicht, mit einem <meta http-equiv="refresh" URL=http://www.böseseite.de> schick ich Dich von Gute-seite.de - Informationen zum Thema . Diese Website steht zum Verkauf! dahin, wo ich es will. :)

In der ersten Frage ging es vor allem um's kopieren - wobei ein Download davon halt eine spezielle Form ist. Ich schließe mal aus deiner Antwort, das dies an sich auch ungefährlich ist.

Du meinst Buffer-Overflows und Leaks... - ok, damit wären wir wieder bei den Sicherheitslöchern - die natürlich immer Angriffspotential bieten.

Nein - aber der 4 ;)

Richtig - s. Überschrift.

Ok, ok, mit HTML läßt sich ganz minimal auf "es-passiert-was" implementieren - aber doch ein einem sehr, sehr abgesteckten rahmen. Mit einer reinen HTML-Datei wirst du nie auch nur eine einzige Datei auf der Platte ausgelesen bekommen (cookies ausgenommen). Und auch in dem von dir geschilderten Fall ist der Redirect sicherlich erstmal nichts problematisches.

Aber dank Dir. An den Grundlagen hat sich also nicht wirklich etwas geändert und Malware lebt nur von der Deaktivierung von Brain 1.0 und/oder Sicherheitslöchern/Exploits/Weaknesses (und wie man sie alle nennen mag).

:daumenhoc So kann man das sagen.