Welches Programm hat Dateiendung lnk?

Hallo!

Ich habe von einer mir sehr gut bekannten (und vertrauenswürdigen) Person ein Attachment gemailt bekommen (WeavePoint6.lnk) mit dem Hinweis, das ich das auf keinen Fall löschen soll und ich dürfe es auch probieren. Somit dürfte es sich um eine Anwendung handeln. AntiVir hat aber das Attachment gekillt.

Kennt jemand ein Programm mit der Dateieindung lnk?
Handelt es sich um einen Virus?
Oder war AntiVir übereifrig?

Hanna

Auch hallo.

Kennt jemand ein Programm mit der Dateieindung lnk?

lnk steht für „link“. Unter Linux wird damit auf eine andere (ausführbare) Datei verwiesen. Unter Windows vermutlich auch: http://www.endungen.de/ResultList/ResultList.aspx?se…

Handelt es sich um einen Virus?

Kann man aus der Ferne nicht sagen.

HTH
mfg M.L.

Ich habe von einer mir sehr gut bekannten (und
vertrauenswürdigen) Person ein Attachment gemailt bekommen
(WeavePoint6.lnk) mit dem Hinweis, das ich das auf keinen Fall
löschen soll und ich dürfe es auch probieren. Somit dürfte es
sich um eine Anwendung handeln. AntiVir hat aber das
Attachment gekillt.

Der Absender hat versucht, dir eine Datei zu schicken, hat aber stattdessen nur einen Link auf den lokalen Speicherort eingefügt. Ein gern gemachter Anfängerfehler. Da ein solcher Link auch missbräuchlich verwendet werden kann, auf dem Rechner des Empfängers dort bereits installierte Programme zu starten, hat AntiVir gemeckert.

Der Absender soll noch mal schicken, diesmal aber entweder das Programm selbst, oder besser eine URL, wo du das Programm im Internet zum Download findest.

Gruss
Schorsch

Hallo,

Hallo!

Ich habe von einer mir sehr gut bekannten (und
vertrauenswürdigen) Person ein Attachment gemailt bekommen
(WeavePoint6.lnk) mit dem Hinweis, das ich das auf keinen Fall
löschen soll und ich dürfe es auch probieren. Somit dürfte es
sich um eine Anwendung handeln.

.lnk ist keine „normale“ Endung für eine Anwendung. Windows verwndet .lnk - Dateien, um Verknüpfungen zu Anwendungen und Dateien zu speichern. Diese „richtigen“ Link-Dateien sind nur ca. 500-800 Byte groß. Da das jeweils nur ein Verweis auf eine andere Datei ist, ist es nicht sinnvoll, diese Dateien per Mail weiterzusenden, auf dem Zielrecher würde sowieso die Zieldatei wahrscheinlich nicht gefunden werden.
Windows hat allerdings die hässliche Eigenschaft, in .lnk umbenannte .exe-Dateien auch auszuführen, was von Viren und anderem Gewürme reichlich ausgenutzt wird.

AntiVir hat aber das
Attachment gekillt.

Dann war es wohl böse.

Kennt jemand ein Programm mit der Dateieindung lnk?

Windows selbst.

Handelt es sich um einen Virus?

Höchtwahrscheinlich ja.

Alexander

PS: Der Virus könnte auch auf dem Rechner des Absenders aktiv sein, ggfs. informieren, oder aber auch bei jemanden, der dich und den Absender im Adressbauch gespeichert hat…

Windows hat allerdings die hässliche Eigenschaft, in .lnk
umbenannte .exe-Dateien auch auszuführen, was von Viren und
anderem Gewürme reichlich ausgenutzt wird.

Das ist nicht richtig. Unter mir bekannten Windows-Versionen wird .lnk durchaus nicht ausgeführt, vielmehr versucht, das Programm auszuführen, auf welches diese Datei verweist. Die Datei an sich ist völlig harmlos.

Mach den Test, und benenne eine beliebige .exe nach .lnk um. Aber mach vorher eine Sicherheitskopie, du könntest Schwierigkeiten bekommen, die Umbenennung rückgängig zu machen.

AntiVir hat aber das
Attachment gekillt.

Dann war es wohl böse.

Nein, es war lediglich potentiell gefährlich.

Höchtwahrscheinlich ja.

Höchstwahrscheinlich nein.

Gruss
Schorsch

Hallo Schorsch,

Windows hat allerdings die hässliche Eigenschaft, in .lnk
umbenannte .exe-Dateien auch auszuführen, was von Viren und
anderem Gewürme reichlich ausgenutzt wird.

Das ist nicht richtig. Unter mir bekannten Windows-Versionen
wird .lnk durchaus nicht ausgeführt, vielmehr versucht, das
Programm auszuführen, auf welches diese Datei verweist. Die
Datei an sich ist völlig harmlos.

Mach den Test, und benenne eine beliebige .exe nach .lnk um.
Aber mach vorher eine Sicherheitskopie, du könntest
Schwierigkeiten bekommen, die Umbenennung rückgängig zu
machen.

Leider nur direkt im Explorer/Startleiste, und nicht konsequent, zumindest nicht unter XP. Wird das Programm per API Funktion (Ob das ShellExecute oder CreateProcess(Ex) jetzt ist, kann ich im Moment mangels Dev-System hier nicht prüfen) von einem anderen Programm aus gestartet, geht die umbennante .exe, warum auch immer. Einfacher Test: „start dateiname.lnk“ (wobei das eine umbennante .exe ist), oder einfach dateiname.lnk auf der Kommandozeile.

.lnk wurde auch schon öfters von Mailwürmern verwendet, um sich zuverbreiten.

Alexander

Leider nur direkt im Explorer/Startleiste, und nicht
konsequent, zumindest nicht unter XP. Wird das Programm per
API Funktion (Ob das ShellExecute oder CreateProcess(Ex) jetzt
ist, kann ich im Moment mangels Dev-System hier nicht prüfen)
von einem anderen Programm aus gestartet, geht die umbennante
.exe, warum auch immer. Einfacher Test: „start dateiname.lnk“
(wobei das eine umbennante .exe ist), oder einfach
dateiname.lnk auf der Kommandozeile.

Das ist richtig, gilt aber für beliebige Dateinamensendungen. Zu Demozwecken habe ich immer eine Freecell.txt auf meinem Rechner, die mittels start freecell.txt anstandslos das beliebte Kartenspiel öffnet.

.lnk wurde auch schon öfters von Mailwürmern verwendet, um
sich zuverbreiten.

Es mag sein, dass bestimmte Mailclients nach .lnk umbenannte Executables unmittelbar öffnen - mir ist ein derartiger Client nicht bekannt. Die Gefahr liegt woanders: In einer Standardinstallation liegt z. B. die ftp.exe unter %systempfad%/system32/ftp.exe - leicht, daraus c:\windows\system32\ftp.exe mit hoher Treffsicherheit zu erraten. Über einen parametrisierten Link auf dieses Programm könnte ich versuchen, mit dessen Hilfe ein Schadprogramm zu laden - welches ich dann noch zur Ausführung bringen muss.

Eine Alternative wäre, tatsächlich eine ausführbare Datei als .lnk verschleiert im Anhang mitzuschicken und über einen html-Link in der Mail auf den Standard-Speicherort dieser Datei im Mailclient zu verweisen. Wenn jetzt noch der Browser oder html-Renderer des Clients lnk-Dateien als ausführbar betrachtet, wird das Schadprogramm per Klick auf den html-Link ausgeführt. Ein unter heutigen Bedingungen ziemlich akademischer Ansatz, da aktuelle Mailclients und Browser ein derartiges Verhalten nicht mehr zeigen und ich zudem auf reine Raterei bezügl. des eingesetzten Clients angewiesen bin. Vor sieben Jahren hat dieser Ansatz bei Eudora mal funktioniert, heute ist diese Gefahr praktisch zu vernachlässigen.

In der Praxis kann man heute also in aller Regel davon ausgehen, dass ein .lnk-Anhang in einer Mail tatsächlich einen harmlosen Blindgänger, entstanden aus einer Fehlbedienung des Absenders darstellt. Willenlos auf einem solchen Anhang herumzuklicken, ist allerdings in der Tat nicht angebracht. Auch ich pflege auf dem Mailserver Mails mit .lnk-Anhang grundsätzlich in Quarantäne zu legen. Und habe daher einen (lokalen) Überblick, wie oft .lnk aus Fehlbedienung resultieren (alle ein- bis zwei Wochen) und wie oft es sich um Schadprogramme handelt (keinmal in den letzten Jahren).

Gruss
Schorsch

Hallo nochmal!

Ich habe dem Absender gemailt und ihn um die URL gebeten. Da hat er zurückgeschrieben, es handle sich bei dem Attachment um ein Programm(!!!), das er in der Schule verwendet und das er mir zeigen will.

Diese Kinder! :wink: Denken, man könne ein aufwändiges Programm einfach per Mail verschicken und dann auch installieren und ausführen, ohne Setup, ganz einfach so!

Kann mir noch jemand erklären, wie aus WavePoint 6.0.exe auf einmal WavePoint 6.lnk geworden ist???

Hanna

Hallo,

Kann mir noch jemand erklären, wie aus WavePoint 6.0.exe auf
einmal WavePoint 6.lnk geworden ist???

Das ist ganz einfach. Die EXE steckt irgendwo unter c:\programme\wavepoint… Gestartet wird das Programm aber über eine auf dem Desktop liegende Verknüpfung. Und genau diese Verknüpfung ist die lnk-Datei. D.h. wenn ich das „Programm“ vom Desktop in die Mail ziehe, dann ziehe ich eben gerade nicht das Programm, sondern nur dessen Verknüpfung (lnk-Datei) in die Mail.

Gruß vom Wiz

1 Like

Hi,

der Ansatz ist nicht so akademisch. Das Schadprogramm muss man
ja nicht mitschicken sondern kann es auch aufn FTP mit fester
IP legen. In der lnk Datei gibst Du dann die URL an und wenn
der Virenscanner die Datei nicht beanstandet sollte sie
ausgeführt werden.

LG Alex

der Ansatz ist nicht so akademisch. Das Schadprogramm muss man
ja nicht mitschicken sondern kann es auch aufn FTP mit fester
IP legen. In der lnk Datei gibst Du dann die URL an und wenn
der Virenscanner die Datei nicht beanstandet sollte sie
ausgeführt werden.

Nur ist das Schadprogramm selbst dann noch nicht ausgeführt. Hierfür ist ein weiterer, zeitabhängiger Schritt erforderlich. Ausserdem kann ein Virenwächter (kein On demand-Scanner) immer noch den ftp-Transfer überprüfen und Alarm schlagen. Im übrigen hatte ich den Begriff ‚akademisch‘ auf den alternativen Ansatz bezogen verwendet. Tatsächlich sind mir erfolgreiche Angriffe, die mit Hilfe des lokalen ftp-Clients ausgeführt wurden, bekannt. Diese wurden dann aber nicht per Mail eingeleitet, sondern durch den Start von remote Commands auf schlecht gesicherten Zielrechnern.

Ein erfolgreicher Angriff mittels eines als .lnk getarnten Programms oder eines Links auf lokale Ressourcen bedarf also, wie andere Angriffsformen auch, der aktiven Mithilfe des angegriffenen Anwenders, ist aber zudem aufwändiger und mit geringerer Erfogswahrscheinlichkeit verbunden. Als Angreifer würde ich diesen Weg daher nur dann gehen, wenn ich gezielt angreifen wollte und zudem ein Grundwissen um die konkrete Umgebung des Angegriffenen besäße. Z. B. wenn ich einen firmeninternen Angriff plante.

Gruss
Schorsch