ZIP Archiv wirklich gefährlich?

Internet Internet Sicherheit
#1

Tach Community…

nun muss ich meiner unwissenheit mit fragen beileibe ruecken…

bisher bin ich davon ausgegangen, dass ich mir nur einen virus einfangen kann, wenn ich beispielsweise aus einer mail,
eine ausfuehrbare datei anklicke.
ich muss also aktiv werden. (voransicht von manchen mailprogrammen und html mails exklusiv)

wie sieht das mit zip archiven aus.
stimmt es, dass das reine oeffnen eines archives viren aktivieren kann ? funktioniert das nur mit winZip ?
ich nutze ausschliesslich den totalCommander um Zips zu oeffnen. besteht dort auch eine gefahr?

wenn ja… was passiert da eigentlich und warum?

habe zuviele unbrauchbare ergebnisse beim googlen bekommen und hoffe hier auf erklaerung :smile:

vielen dank

PixelKoenig

#2

Hi,

hast Du auch diese seltsame mail von Jotmail von wegen password erfolgreich geändert?

Grüße
HylTox

#3

Tach PixelKönig

nun muss ich meiner unwissenheit mit fragen beileibe
ruecken…

Ich hab mal gelesen: Wissen ist macht, Unwissenheit macht nix :smile:))

bisher bin ich davon ausgegangen, dass ich mir nur einen virus
einfangen kann, wenn ich beispielsweise aus einer mail,
eine ausfuehrbare datei anklicke.
ich muss also aktiv werden. (voransicht von manchen
mailprogrammen und html mails exklusiv)

Das ist fast korrekt
Bedenke jedoch dabei, das manchmal auch ein Anhang so aussehen kann:
Anhang.txt +60Leerzeichen+ .exe
Damit kann weder der Explorer noch die von MS mitgebrachten ABIs anzeigen, das es sich hier um eine ausführbare Datei handelt und ein Klick darauf, der eigentlich das Notepad mit dieser vermeintlichen Anhang.txt öffnen sollte, installiert einen Trojaner. Dies übernimt übrigens auch OjE in Defaultkonfiguration automatsch für dich! :smile:
Bis hierhin sollte das Allgemein bekannt sein

wie sieht das mit zip archiven aus.
stimmt es, dass das reine oeffnen eines archives viren
aktivieren kann ? funktioniert das nur mit winZip ?
ich nutze ausschliesslich den totalCommander um Zips zu
oeffnen. besteht dort auch eine gefahr?

Hier ist das ähnlich! Es gibt Packer, die erkennen in einem Archiv eine ausführbare Datei. Nun sollte ein Packprogramm im Höchstfall eine Mitteilung darüber bringen und dich Fragen, ob es aufrufen soll. Leider tun das nicht alle und rufen bei erkennen automatisch auf. Insbesonders wenn die Datei „Setup“, „Install“ oder ähnlich heist. Was dein tC macht weiss ich nicht, mein 7Zip tut es jedenfalls nicht.

Weiterhin sollte ein Packprogramm beschädigte Archive oder Dateien mit Archivextensionen, die keine Archive sind, keinesfalls versuchen zu öffnen. Das kann tötlich werden, wie schon von JTKirk berichtet. Zu allem Überfluß gibt es dann noch Clients und Downloadmanager die ebenfalls automatisch Archive auspacken möchten. Trenne dich davon oder konfiguriere sie.

Im übrigen sollte selbstextrahierende Archive von dir selbst nur dann benutzt werden, wenn das Packprogramm entsprechende Mitteilungstexte vor der Extrahierung ausgeben kann und eine Möglichkeit zum Abbruch bietet zB: ZipGenius oä. Im allgemeinen kann man aber davon ausgehen, das heute jeder Anwender in der Lage ist, auf selbstextrahierende Archive problemlos zu verzichten.

der hinterwäldler

#4

Hallo!

wie sieht das mit zip archiven aus.
stimmt es, dass das reine oeffnen eines archives viren
aktivieren kann ? funktioniert das nur mit winZip ?
ich nutze ausschliesslich den totalCommander um Zips zu
oeffnen. besteht dort auch eine gefahr?

Es besteht immer eine Gefahr.

wenn ja… was passiert da eigentlich und warum?

Ein Archiv wurde derart erstellt, das dein Entpacker abstürtzt
oder einen Bufferoverflow erzeugt. Damit kann Schadcode in dein
System eindringen.

Es gab mal ein Ziparchiv mit megavielen Dateien drin, alle recht
groß und nur mit Nullen gefüllt. Wenn man sowas als Zip bekommt sind das nur wenige KByte, versucht man dies zu erxtrahieren kommen auf
einmal mehrere Terabyte Daten zusammen (wohl nur Nullen). Dies
brachte einige Mailserver (die Ziparchive in EMails scannen) dazu
ihre Arbeit komplett einzustellen.

Gruß
Stefan

#5

na merci :smile:
Re -Tach

Ich hab mal gelesen: Wissen ist macht, Unwissenheit macht nix

-)))

kannst du mir lesen beibringen ? *grinsel*

Bedenke jedoch dabei, das manchmal auch ein Anhang so aussehen
kann:

ja nee… klar… wer da nicht die standardkonfig von windoof anpasst ist selber schuld… frage mich immer wieder, wieso microschrott
immer noch mit dieser konfiguration ausliefert, dass alle dateiendungen bei bekanntem typ ausgeblendet werden sollen… tse tse tse
wenn die das vom nutzer fernhalten wollen, dann haetten die das gleich wie apple machen sollen *laechel*

Anhang.txt +60Leerzeichen+ .exe

jaja… haesslich haesslich…
aber da man ja in der regel anhaenge speichert, bevor man sie ausfuehrt… merkt der aufmerksame paranoide das :smiley: … also ich schon !!!

Bis hierhin sollte das Allgemein bekannt sein

Jau

„Install“ oder ähnlich heist. Was dein tC macht weiss ich
nicht, mein 7Zip tut es jedenfalls nicht.

sichere seite. irgendein weiser wollte mir erklaeren, dass man zips so manipulieren kann, dass man sich ueblen code einfaengt. ich bin ein hasser von unkontrollierten automatismus. solche tools existieren nicht auf meinem rechner. also…bin ich auf der sicheren seite :smile:
der TC macht das naemlich auch nicht.

Im übrigen sollte selbstextrahierende Archive von dir selbst
nur dann benutzt werden, wenn das Packprogramm entsprechende
Mitteilungstexte vor der Extrahierung ausgeben kann und eine
Möglichkeit zum Abbruch bietet zB: ZipGenius oä. Im
allgemeinen kann man aber davon ausgehen, das heute jeder
Anwender in der Lage ist, auf selbstextrahierende Archive
problemlos zu verzichten.

verzichte ich schon immer drauf. alleine schon deshalb weil die archive unnoetig gross werden… also dem sinn und zweck aushebeln…

naja… und wer exe aus mails ausfuehrt… ist schon ein wenig risikofreudig… :smile:

vielen dank fuer die beruhigende antwort…

grusz

PixelKoenig

#6

tach,

hast Du auch diese seltsame mail von Jotmail von wegen
password erfolgreich geändert?

nö. war ne grundsaetzliche frage.

grusz

PK

#7

Re: na merci :smile:

irgendein weiser wollte mir erklaeren, dass man
zips so manipulieren kann, dass man sich ueblen code
einfaengt.

Ein Weiser nicht aber ein Heise leser!
http://www.heise.de/newsticker/result.xhtml?url=/new…
Und wenn das geht dann geht auch ein Bufferoverflow und damit hast du
deinen Virus.

Gruß
Stefan

#8

ZIP-Archive hochinfektiös

wie sieht das mit zip archiven aus.
stimmt es, dass das reine oeffnen eines archives viren
aktivieren kann ? funktioniert das nur mit winZip ?
ich nutze ausschliesslich den totalCommander um Zips zu
oeffnen. besteht dort auch eine gefahr?

Du siehst die Sache von einem rein technischen Aspekt, und das scheint mir falsch zu sein. Es muss eine Form von Magie sein, mit Pheromonen versehene Zips oder eine neue Funktion der automatischen Hypnose, die den Anwender gegen seinen Willen zwingt, in Zips versteckte Viren zu installieren.

Anders zumindest kann ich mir die laut meinen Logs explosive Zunahme von Virenmails seit Sober.T/V/W vor etwas über einer Woche nicht erklären. Und seit Dienstag mit Sober.Y/Z (BKA-Mail) gabs nochmal eine Steigerung ums achtfache, so dass bei mir derzeit gegenüber ‚normalen‘ Zeiten das etwa 70fache an Viren eingeht. Unmittelbar ausführbare Viren hingegen machen derzeit gerade mal ein Promille der gesamten Virenlast aus, 99,9% sind gezippte Schädlinge.

Und da technische Ursachen für dieses Phänomen weitgehend ausgeschlossen werden können, gleichzeitig heute aber, dank vielfältiger Aufklärungsarbeit, kein Anwender mehr so dumm ist, auf in Zip-Dateien versteckte Schädlinge, hereinzufallen, muss nach Sherlock Holmes die Möglichkeit, die übrigbleibt, so unwahrscheinlich sie auch scheinen mag, die Wahrheit sein: Magie.

Hoffe, etwas Dunkel ins Licht gebracht zu haben,
Schorsch

#9

na super
da sah ich mich auf sicherer seite… und du stellst mit deiner vermutung wieder alles in frage…
was denn nu?
anmagie glaube ich nicht. vielmehr glaub ich an die dummheit der leute… warum sollten menschen, die nicht in der lage sind auch nuhr ainen satz ordografisch cooräkt auf gucken kriegen, *hae?!* auch nur ansatzweise das verstehen, was in IT-blaetchen und meinungsbildenden moechte gern it-blaettchen geschrieben steht?

also… davon ausgehend, dass sich die meisten nicht fuer sicherheit WIRKLICH interessieren… denke ich … ist der faktor „menschliche dummheit“ erheblich groesser, als du vermutest…

da existiert naemlich die meinung… "ich habe doch eine firewall und einen virusscanner.
mir kann nichts passieren…und den virusscanner date ich jeden monat einmal ab…

#10

wenn ein tool ein ziparchiv nicht interpretiert…sondern nur
den inhalt anzeigt… kann mir doch zum teufel nichts
passieren… oder muss ich meinen rechner jetzt mit fluechen
belegen und mir einen zauberstab und ein feindglas zulegen?

Systembedingt kenne ich keine Möglichkeit, habe noch nie derartiges raunen gehört und kann es mir auch nicht vorstellen, dass es unter Windows möglich wäre, eine Zip-Datei so zu gestalten oder eine ausführbare Datei so als Zip-Datei zu tarnen, dass ein Doppelklick auf diese Datei oder ein Öffnen dieser Datei mit einem dritten Programm zur unerwünschten Ausführung von Code führt, ohne dass eine fehlerhafte Implementation dieses dritten Programms Voraussetzung für die Ausführung ist.

Unter anderen Betriebssystemen mag es sein, dass dort eine ausführbare Datei unabhängig von ihrer Dateinamensendung auf Doppelklick als ausführbar erkannt und gestartet wird, statt sie wie vom Anwender erwartet im Entpacker zu öffnen, Windows ist dafür zu dumm.

Gruss
Schorsch