9
kann ein Zip Archiv selbst ein Virus sein oder nur eine der enthaltenen Dateien?
Mail Wurm vom BKA "Sie besitzen Raubkopien"
Viren werden duch zip übertragen. wie muss ich das verstehen.. Ich dachte immer daß Viren nur in ausführbaren Dateien entalten sein können. (oder Macros). Ist in solchen Fällen die Zip Datei selbst der Virus oder nur eine Datei die darin gepackt ist? Kann ich dann gefahrlos die Zip datei entpacken ohne mir einen Virus oder Wurm einzuhandeln. (Ich will nur mal ins Archiv schauen und nichts weiter öffnen) Danke Manfred
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 20206
Url: https://administrator.de/contentid/20206
Printed on: February 8, 2023 at 20:02 o'clock
9 Comments
Latest comment
hi...
wie das aussieht, hast du einen dieser mails bekommen (archivxyz.zip) .... nicht öffnen... zur zeit sind mails von bka, rtl und so im umlauf...
gruß,
michael
wie das aussieht, hast du einen dieser mails bekommen (archivxyz.zip) .... nicht öffnen... zur zeit sind mails von bka, rtl und so im umlauf...
gruß,
michael
Hallo,
beim öffnen eines Zip-Archives wird ja bereits Code ausgeführt. Der Stammt zwar in erster Linie von deinem Entpacker, allerdings werden Daten aus dem Archiv verwendet. Für diese erwartet der Entpacker bestimmte Formate. Stimmen diese nicht, so kann man an dieser Stelle einen Pufferüberlauf provozieren und damit Daten in Bereiche schreiben, die später als Befehle ausgeführt werden. Somit wäre dies also schon ein weg, direkt beim Öffnen/Ansehen des Archivs Schadcode zur Ausführung zu bringen. Ob es noch andere Möglichkeiten gibt, und was die aktuellen Viren so alles machen weiss ich auch nicht.
Filipp
beim öffnen eines Zip-Archives wird ja bereits Code ausgeführt. Der Stammt zwar in erster Linie von deinem Entpacker, allerdings werden Daten aus dem Archiv verwendet. Für diese erwartet der Entpacker bestimmte Formate. Stimmen diese nicht, so kann man an dieser Stelle einen Pufferüberlauf provozieren und damit Daten in Bereiche schreiben, die später als Befehle ausgeführt werden. Somit wäre dies also schon ein weg, direkt beim Öffnen/Ansehen des Archivs Schadcode zur Ausführung zu bringen. Ob es noch andere Möglichkeiten gibt, und was die aktuellen Viren so alles machen weiss ich auch nicht.
Filipp
Oftmals ist so ein Anhang auch keine .zip-Datei sondern eine .exe.
Weil Windows blendet in der Standardkonfiguration ja die Endungen von bekannten Dateitypen aus. Eine Datei mit dem Namen "Geheim.exe" würde also als "Geheim" angezeigt. Wenn die Datei aber "Geheim.zip.exe" heisst, dann entfernt Windows die Dateiendung .exe und zeigt als Name "Geheim.zip" an. In Wirklichkeit ist es aber keine .Zip-Datei sondern die .Exe-Datei.
Und wenn man diese nun per Doppelklick öffnen möchte, führt man den Virus schon aus.
Gruss,
Thomas
Weil Windows blendet in der Standardkonfiguration ja die Endungen von bekannten Dateitypen aus. Eine Datei mit dem Namen "Geheim.exe" würde also als "Geheim" angezeigt. Wenn die Datei aber "Geheim.zip.exe" heisst, dann entfernt Windows die Dateiendung .exe und zeigt als Name "Geheim.zip" an. In Wirklichkeit ist es aber keine .Zip-Datei sondern die .Exe-Datei.
Und wenn man diese nun per Doppelklick öffnen möchte, führt man den Virus schon aus.
Gruss,
Thomas
Hallo Filipp, wenn ich Dich recht verstehe müsste die Zip datei selbst üngefährlich sein (außer sie wäre so verändert worden das ein Pufferüberlauf stattfindet über den man Code einschleust.)
Danke
Danke
das weiß ich schon (das mit den doppelten Dateierweiterungen). In diesem Fall ist ganz sicher keine EXE sonderern eben eine ZIP-Datei.
Mir geht es darum ob das öffnen bzw. das entpacken schon den Virus auslöst oder erst das starten der darin enthaltenen Dateien. (Das ich die dann nicht öffen darf ist schon klar.). Gruß Manfred
Mir geht es darum ob das öffnen bzw. das entpacken schon den Virus auslöst oder erst das starten der darin enthaltenen Dateien. (Das ich die dann nicht öffen darf ist schon klar.). Gruß Manfred
Hi Fritz-admin
Mach doch mal die Probe aufs Exempel!
Zieh dir ein Image deiner Kiste, hänge Sie von jeglicher Netzwerkverbindung ab und Öffne die zip-Datei.
Danach startest du den Rechner ab CD und lässt einen guten Virenscanner laufen.
Das Resultat bitte hier posten (wir sind alle Neugierig)
gretz drop
Mach doch mal die Probe aufs Exempel!
Zieh dir ein Image deiner Kiste, hänge Sie von jeglicher Netzwerkverbindung ab und Öffne die zip-Datei.
Danach startest du den Rechner ab CD und lässt einen guten Virenscanner laufen.
Das Resultat bitte hier posten (wir sind alle Neugierig)
gretz drop
Hallo,
wenn du selber einfach einen herkömmlichen Virus nimmst und diesen zipst, dann bin ich mir relativ sicher ist das einfache öffnen der Zip-Datei ungefährlich. Aber wenn du eine eMail mit einer Zip-Datei bekommst, für die sogar eine Viruswarnung im Umlauf ist, dann ist die Wahrscheinlichkeit, dass es sich eben nicht um eine normale, gültige Zip-Datei, sondern um eine manipulierte, die beim Öffnen Schadcode zur Ausführung bringt, relativ gross.
Filipp
wenn du selber einfach einen herkömmlichen Virus nimmst und diesen zipst, dann bin ich mir relativ sicher ist das einfache öffnen der Zip-Datei ungefährlich. Aber wenn du eine eMail mit einer Zip-Datei bekommst, für die sogar eine Viruswarnung im Umlauf ist, dann ist die Wahrscheinlichkeit, dass es sich eben nicht um eine normale, gültige Zip-Datei, sondern um eine manipulierte, die beim Öffnen Schadcode zur Ausführung bringt, relativ gross.
Filipp
Ich habe ein VM Maschiene Installiert und das Zip enpackt und die registry und verschieden Verzeichnisse überprüft. Dabei habe ich keine Änderungen festgestellt. Im Archiv selbst war eine exe- Datei die ich besser nicht öffnen will.
Viele Grüße Manfred
Viele Grüße Manfred
Röchtöch...
Wenn man sich mit WinZIP und WinRAR auskennt, kann man solche Archive generieren, die eben nicht den üblichen entsprechen, sondern eine Schadensroutine bereits beim Entpacken an den Tag legen.
Dies ist jedoch enorm schwierig; und ein aktueller guter Virenscanner beobachtet beim Lesen und Schreiben auf Festplatte, somit ist das Temp-Verzeichnis eingeschlossen...
Wenn man sich mit WinZIP und WinRAR auskennt, kann man solche Archive generieren, die eben nicht den üblichen entsprechen, sondern eine Schadensroutine bereits beim Entpacken an den Tag legen.
Dies ist jedoch enorm schwierig; und ein aktueller guter Virenscanner beobachtet beim Lesen und Schreiben auf Festplatte, somit ist das Temp-Verzeichnis eingeschlossen...