Gefährdete Dateien

Biohazard


	ASCII (txt) BMP (Bitmap-Datei) CGI (Common Gateway Interface) CLP (Clipboard-Datei) DOC (Dokumentdatei) EICAR (Die ICAR Standard Anti Virus Testdatei) EXE (ausführbare Dateien, Programme) FAX (Dateien für die Faxübertragung) HTML (Hypertext Mark-Up Language) IDE (Identity-Dateien) JPEG (Joint Photographic Experts Group) MP3

NORMAL.DOT
OBJ (Objektdateien)
Programmbibliotheken
PWL (Datei für Paßwortlisten)
Quarantänebereich
RAR
RTF (Datei im Rich Text Format)
Schlüsseldateien
SCR (Bildschirmschonerdateien)
Trojanisches Pferd (Trojaner-Dateien)
UUE (UUENCODE)
VBS (Visual Basic Script)
XLS (Excel-Tabellen)
ZIP (ZIP-Archive)

ASCII (American Standard Code for Information Interchange)
Einfacher ASCII-Code erlaubt 7 Bits pro Zeichen (128 Zeichen), wobei die ersten 32 Zeichen nicht druckbar sind (sie rufen Befehle auf wie Line Feed, Form Feed oder Bell). Im allgemeinen sind ASCII-Dateien Textdateien. Wenn man sich jedoch etwas Mühe gibt, kann man auch Programme schreiben, die ausschliesslich aus druckbaren Zeichen bestehen. Auch DOS / Windows-Batchdateien (BAT) und Visual-Basic-Script-Dateien bestehen aus reinem Text und sind doch Programme. ASCII-Dateien können also Programmcode enthalten und somit auch Viren.

Einfacher ASCII-Text ist die beste Alternative, E-Mails zu versenden, vor allem wenn sie für ein breites Publikum bestimmt sind. Bei einer E-Mail, die aus reinem Text besteht, können Sie sowohl Inhalt als auch Layout genau bestimmen und gleichzeitig sicher sein, das Ihre Mail selbst für Benutzer lesbar ist, die mit den veralteten E-Mail-Programmen arbeiten. [zurück zum Anfang]

BMP (Bitmap-Datei)
Eine Bitmap ist ein Raster aus farbigen Punkten (Pixel), die zusammen eine Abbildung ergeben. BMP-Dateien speichern solche Abbildungen, um sie auf dem Bildschirm zu zeigen. Im Gegensatz zu anderen Speicherformaten von Abbildungen (siehe JPEG) sind BMP-Dateien relativ primitiv und komprimieren nur geringfügig. Grosse Abbildungen bedeuten also auch grosse BMP-Dateien. Trotzdem
sind BMP-Dateien auf Windows-Systemen üblich, da BMP eines der Standardbildformate von Windows ist. BMP-Dateien sind keine Programme und können somit nicht von Viren befallen werden. [zurück zum Anfang]

CGI (Common Gateway Interface)
CGI-Skripte werden gemeinhin auf Webseiten verwendet, um auf den Interessenten zugeschnittene Resultate zu erzielen. Meist sieht das so aus, dass wenn ein Besucher beispielsweise ein Formular ausfüllt oder auf einen Link klickt, der Server ein Skript unter Verwendung der Informationen ausführt, die der Benutzer eingegeben hat. Dies vermittelt den Eindruck, als sei die Webseite für den Besucher 'wie gemacht'.

Dies bedeutet, dass der Server ein Programm ausführt, das von einem Aussenstehenden gestartet wird, mit Daten, die dieser eingibt. Da sich viele Programme bei Eingabe von ungültigen oder unzulässigen Daten fehlerhaft verhalten, ist es einem Eindringling durchaus möglich, das CGI-Skript so mit Daten zu 'füttern', dass der Hacker mit Hilfe eines solchen Fehlverhaltens Zugang zur eigentlichen Webseite erhält.

Hinzu kommt, dass einige CGI-Skripte eingegebene Informationen von Besuchern in temporären Dateien speichern (ein Onlineshop etwa speichert den Inhalt des virtuellen Einkaufskorbs des Besuchers). Wurden die Skripte vom Administrator nicht richtig konfiguriert, können diese Dateien in den gleichen Bereich geschrieben werden, wo sich die Dateien für die eigentliche Webseite befinden. Ein Hacker, der sich auskennt, kann sie dann später mit Hilfe eines Webbrowsers abrufen. [zurück zum Anfang]

CLP (Clipboard-Datei)
Windows hat ein virtuelles Clipboard, das transparent (für den Benutzer nicht sichtbar) alles speichert, was aus einer Anwendung ausgeschnitten (Strg-X) oder kopiert (Strg-C) wird bis man es in eine andere einfügt (Strg-V). Das Clipboard enthält jeweils nur ein Objekt, es können jedoch viele verschiedene Darstellungen dieses Objekts gespeichert werden. Manchmal enthält das Clipboard nicht das Objekt selbst, sondern einen Verweis auf dieses. Wenn etwa eine EXE-Datei vom Explorer in das Clipboard kopiert wird, merkt sich das Clipboard den Namen und das Verzeichnis der Datei und speichert nicht die Datei selbst. Der Inhalt des Clipboards kann als CLP-Datei auf einen Datenträger gespeichert werden.

Obwohl also CLP-Dateien Viren oder Virenfragmente enthalten können, die von einer anderen Anwendung kopiert wurden, können sie selbst nicht infiziert werden. [zurück zum Anfang]

DOC (Dokumentdatei)
Dokumentdateien in Microsoft Word enthalten normalerweise nur Dokumentdaten. Sie können allerdings auch Programme (so genannte Makros) enthalten, die in einer anspruchsvollen Programmiersprache geschrieben werden, die Teil von Word ist. Es gibt verschiedene Versionen dieser Makrosprache, unter anderem Word Basic in Word 95, Visual Basic for Applications 5 (VBA5) in Word 97 und Visual Basic for Applications 6 in Word 2000. Diese Programmiersprachen sind alle so entworfen, dass sie leicht erkennbar sind und sie sind leistungsfähig genug, um Viren mit ihnen zu schreiben.

Wenn also jemand eine DOC-Datei per E-Mail schickt, kann es sich um etwas mehr als nur eine Datei mit einfachen Daten handeln. Sie kann ein Makroprogramm enthalten, das automatisch startet, wenn auf die DOC-Anlage der E-Mail doppelgeklickt wird. DOC-Dateien werden ständig hin- und hergeschickt und Word-Viren konnten sich somit enorm verbreiten. Sieben von zehn Viren der Sophos-Top-10-Liste vom März 1999 können DOC-Dateien infizieren.

Antiviren-Software kann verhindern, dass man aus Versehen eine infizierte DOC-Anlage einer E-Mail öffnet und sie sollte unbedingt immer zum Schutz verwendet werden. Es lohnt sich jedoch der Versuch, DOC-Dateien nur zu senden, wenn es absolut notwendig ist. Manche Leute versenden DOC-Dateien, die nur kurze Nachrichten enthalten und die man wesentlich effektiver als einfache Text-E-Mails (siehe ASCII) schicken kann. Oder es werden komplexe Dokumente gesendet, die nicht das ganze Tamtam brauchen, das DOC-Dateien bieten. In diesen Fällen wäre es sicherer und effektiver, Rich Text Format zu benutzen. [zurück zum Anfang]

EICAR (Die EICAR-Standard-Anti-Virus-Testdatei)
Es handelt sich um eine einfache Textdatei, die auch ein Programm sein kann (siehe ASCII). Sie besteht aus einer Zeile druckbarer Zeichen; gespeichert als eine Datei namens EICAR.COM kann sie tatsächlich ausgeführt werden. Sie druckt die Meldung

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Die meisten Antiviren-Programme erkennen diese Datei als Virus. So kann einfach und sicher die Installation und Zuverlässigkeit der Antiviren-Software getestet werden, ohne dass man einen richtigen Virus braucht. Einen 'richtigen' Virus für Testzwecke in einem Firmennetzwerk zu verwenden ist so, als ob man den Papierkorb in Brand steckt, um den Feueralarm zu testen - ein unnötiges Risiko.

Um eine EICAR-Testdatei zu erstellen, erstellt man eine Textdatei namens EICAR.COM, die eine einzelne Zeile wie diese enthält:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Beachten Sie bitte, dass das 'O' an dritter Stelle der Buchstabe 'o' ist und nicht die Ziffer 'Null'. Wenn der Text richtig getippt oder kopiert wurde, meldet Sophos -Anti-Virus, dass die Datei "EICAR-AV-Test" enthält. [zurück zum Anfang]

EXE (ausführbare Dateien, Programme)
EXE-Dateien enthalten Programme, die man direkt laufen lassen kann. Normalerweise doppelklickt man hierfür auf das Programmsymbol, auf eine Verknüpfung auf dem Desktop oder im Startmenü. Man kann auch den Namen des Programms als Befehl eingeben. Programme können von anderen Programmen oder Skripten wie etwa Batchdateien oder Visual-Basic-Script-Dateien ausgeführt werden. Auch Dateien mit der Erweiterung COM sind unter Windows direkt ausführbar.

Da Programme nun einmal dazu da sind, ausgeführt zu werden und den Computer zu kontrollieren, ist es nicht erstaunlich, dass die Mehrzahl der bekannten Viren Programmdateien infizieren. Im Alltag ("in freier Wildbahn") kommen jedoch Viren, die Programme infizieren, relativ selten vor. Nur zwei der Top-10-Viren im März befallen EXE-Dateien.

Dies kommt sehr wahrscheinlich daher, dass Programme wesentlich seltener als Dokumente (siehe DOC) und Tabellen (siehe XLS) untereinander getauscht werden und es somit unwahrscheinlicher ist, dass infizierte Programme von einem Computer auf den anderen übertragen werden.

Die Erfahrung lehrt jedoch, dass man Leute leicht überreden kann, ihnen unbekannte Programme auszuführen, wenn man ihnen EXE-Dateien per E-Mail schickt. Es ist ratsam, unaufgefordert zugesandte Programme (siehe Trojanisches Pferd) zurückzuweisen, auch wenn man die Herkunft kennt; es besteht nur selten die Notwendigkeit, sie anzunehmen. [zurück zum Anfang]

FAX (Dateien für die Faxübertragung)
Im allgemeinen enthalten Faxdateien eine Bitmap-Abbildung des Faxinhaltes. Der Inhalt wird durch Scannen eines gedruckten Dokuments erstellt (konventionelle Faxgeräte haben integrierte Scanner, Modems und Drucker, um die Faxabbildungen entgegenzunehmen, zu übertragen und anzuzeigen) oder mit Hilfe eines Computerprogramms, das die Abbildungen im Faxformat aus Dateien wie Word-Dokumenten erstellt.

Sendet man ein Word-Dokument per Fax, wird nur eine Abbildung davon angefertigt, wie das Dokument aussehen würde, wenn man es ausdrucken würde. Es werden also keine Programmakros (siehe DOC) gesendet. Word-Makroviren können also nicht über das Faxgerät übertragen werden.

Das grösste Risiko für Firmenfaxgeräte sind heutzutage wahrscheinlich unaufgefordert zugesandte Faxe, die Firmenmittel verschwenden. Einige unerwünschte Faxe locken mit Preisausschreiben (die Preise sind meist nur wenig wert). Hierfür müssen ein paar Antworten angekreuzt und über eine Servicenummer zurückgefaxt werden. Dies kann bis zu 3,63 DM pro Minute kosten, wobei einige Verbindungen bis zu neun Minuten dauern. [zurück zum Anfang]

HTML / HTM (Hypertext Mark-Up Language)
HTML ist die 'Sprache' des World Wide Web, mit der das Aussehen und Reaktionen von Webseiten bestimmt wird. HTML ist eine deskriptive Sprache, keine Programmiersprache, doch HTML-Dateien können durch eingebettete Programme erweitert werden, die meist in JavaScript, Visual Basic Script oder Java geschrieben sind. Wenn eine HTML-Datei mit einem solchen eingebetteten Programm heruntergeladen wird, wird das Programm automatisch auf dem lokalen Computer ausgeführt.

Meistens hört sich das schlimmer an, als es tatsächlich ist, denn die eingebetteten Programme, die von einer Webseite heruntergeladen werden können, werden normalerweise vom Browser mit nur sehr beschränkter Leistung ausgeführt. Standardmässig etwa können Java-Programme von anderen Webseiten aus keine Informationen der Systemkonfiguration manipulieren oder etwas auf lokalen Festplatten ändern. Eine ähnliche Sicherheitsbeschränkung gilt für VBS-Programme. Das heisst, dass sich Java- und VBS-Viren - im allgemeinen - nicht über den Internetzugang verbreiten können.

Oben gesagtes trifft natürlich nicht immer zu. Lockert man die Sicherheitseinstellungen (die sowohl für das Betriebssystem als auch den Browser gelten), können durch entsprechende Manipulationen VBS- und Java-basierte Viren von einer Webseite automatisch auf den lokalen Computer übertragen werden. Die Sicherheitseinstellungen sollten daher hin und wieder so angepasst werden, dass häufig besuchten Webseiten bestmöglich genutzt werden können. Bevor man solche Veränderungen vornimmt, sollte man sich jedoch über die damit verbundenen Risiken im Klaren sein. [zurück zum Anfang]

IDE (Identity-Dateien)
Hierbei handelt es sich um Zusatzdateien für Sophos Anti-Virus, mit welchen die Software schnell aktualisiert werden kann, um neue Viren unverzüglich zu erkennen und zu entfernen. Gewöhnlich werden sie von der Webseite heruntergeladen oder per

E-Mail versendet. Da IDE-Dateien aber sehr klein sind (höchstens ein paar hundert -Bytes) und nur aus hexadezimalen ASCII-Zeichen bestehen, werden sie sogar an externe Benutzer, die keinen Zugang zum Netzwerk aufnehmen können, per Fax geschickt und vom Empfänger eingetippt. [zurück zum Anfang]

JPEG / JPG (Joint Photographic Experts Group)
JPEG-Dateien sind Bitmaps von Abbildungen. Normalerweise bieten sie eine hervorragende Komprimierung und sind im Internet sehr beliebt, da sie sich schnell herunterladen lassen.

Da die hohe Komprimierung auf Kosten der Bildqualität erreicht wird, sehen manche Abbildungsbereiche von JPEG-Dateien unnatürlich aus. Diese Nebeneffekte beeinträchtigen normalerweise nicht die Nutzbarkeit der Bilder, besonders im Internet, und werden als zufriedenstellender Kompromiss von Dateigrösse und Bildqualität angesehen. JPEG-Dateien sind keine Programme und können nicht mit Viren infiziert werden.

Es gibt allerdings eine 'Scherzwarnung' (in verschiedenen Versionen), die vor Viren warnt, die JPEG-Dateien befallen sollen. Die Scheinwarnung macht auf die Unzulänglichkeiten der Bildqualität aufmerksam, die als Symptome einer Virusinfektion gedeutet werden. Bei den beschriebenen Fehlern handelt es sich allerdings um die für JPEG typischen Mängel. Den meisten Benutzern werden sie erst auffallen, nachdem man sie darauf aufmerksam gemacht hat und die Pseudoinfektion scheint glaubhaft. Viele werden überzeugt sein, dass ihr Rechner eine Virusinfektion hat - hat er nicht! [zurück zum Anfang]

MP3 (Moving Picture Experts Group Audio Layer 3)
MP3-Dateien enthalten komprimierte Tonspuren. Wie bei JPEG kann die Komprimierung erhöht werden, indem die Wiedergabequalität gemindert wird. Da man eine sehr hohe Komprimierung ohne grossen Qualitätsverlust erreichen kann, ist MP3 für Ton im Internet sehr beliebt.

Ebenso wie JPEG sind MP3-Dateien keine Programme und können somit nicht von Viren befallen werden. Es gibt eine ähnliche Pseudowarnung vor MP3-'Viren' wie bei JPEG. [zurück zum Anfang]

NORMAL.DOT (Globale Dokumentvorlage in Word)
Die meisten Anwender kennen die Datei NORMAL.DOT als die globale Dokumentvorlage in Microsoft Word. Alles was in der globalen Dokumentvorlage gespeichert wird, wird ein integrierter Bestandteil der jeweiligen Word-Installation. Dies ist nicht die einzige Möglichkeit, Funktionen in Word zu erweitern, aber es ist die bekannteste und gebräuchlichste.

Mit NORMAL können etwa Tastenkombinationen, Formatvorlagen, Symbolleisten und Makros angepasst werden. Da Word-Makros im Grunde Programme sind (siehe DOC), ermöglicht das Hinzufügen von Makros in NORMAL eine völlige Änderung des Verhaltens von Word als Programm. In vieler Hinsicht ist NORMAL für Word das, was die AUTOEXEC.BAT für Windows ist. Sie enthält Makros, die beim Start von Word immer mitgeladen werden.

Dies bedeutet, dass ein Virus in der globalen Dokumentvorlage im Grunde 'speicherresident' in Word ist und mit jedem Start von Word automatisch immer wieder mitgeladen wird. Noch schlimmer ist die Tatsache, dass ein Virus sich nicht unbedingt in der Datei NORMAL hineinschreiben muss. Er muss sich nur im Speicher festsetzten und damit die globale Vorlage ändern. Wenn Word beendet wird, wird es diese Änderungen erkennen und automatisch in NORMAL speichern. Obwohl Word den Benutzer auf solche Änderungen aufmerksam machen kann (die vor einer Virusinfektion warnen könnten), muss nur eine Zeile des Programmcodes geändert werden, um die Warnung zu deaktivieren. Die meisten Viren tun dies.

Es gibt immer noch Leute, die glauben, dass einer Virusinfektion vorgebeugt werden kann, indem man NORMAL schreibgeschützt macht. Das stimmt nicht — Word wird beim Beenden nur an der automatischen Aktualisierung (und Infizierung) von -NORMAL gehindert. Solange Word geladen ist, bleibt jeder residente Virus resident und aktiv. Macht man NORMAL schreibgeschützt, verlangsamt man zwar die Ausbreitung eines Virus, da der Virus nicht bei jedem Start von Word automatisch wieder geladen wird, aber als Schutzvorkehrung ist dies nur wenig tauglich. [zurück zum Anfang]

OBJ (Objektdateien)
Diese Dateien sind Programmbibliotheken ähnlich (siehe Programmbibliotheken), allerdings können sie nicht dynamisch geladen werden, wenn ein Programm gestartet wird. Statt dessen werden sie erstellt, wenn ein Programmierer eine Software als Zwischenschritt zwischen dem Quellcode (geschrieben in einer Sprache wie C oder C++) und dem fertigen Programm erstellt.

Da die meisten Programme aus mehreren Quellcodedateien erstellt werden, benutzt der Programmierer normalerweise einen Compiler, der jede Quellcodedatei in eine OBJ-Datei umwandelt, und dann einen Linker, der alle OBJ-Dateien verbindet und aus ihnen ein einziges Programm erstellt.

OBJ-Dateien werden, während ein Programm entwickelt wird, normalerweise immer wieder neu erstellt, und ändern sich entsprechend häufig. Ein Virus, der eine OBJ-Datei infiziert würde also Dateien manipulieren, bei denen der Programmierer davon ausgeht, dass sie sich ändern, und sie so seiner Aufmerksamkeit entziehen. Und der Virus würde mit jedem Programm verknüpft werden, das diese infizierte OBJ benutzt. OBJ-Dateien können sich viele Programme teilen, ähnlich wie Programmbibliotheken, so dass ein OBJ-Virus in mehrere Programme gelangen kann, obwohl er nur eine Datei auf der Festplatte infiziert hat.

Es gibt OBJ-Viren, sie sind aber selten. Die Verbreitung ist eher schwierig, da die meisten Anwender keine Programmierer sind und deshalb keine OBJ-Dateien auf ihrem Computer haben. OBJ-Viren haben Schwierigkeiten, Opfer zu finden. [zurück zum Anfang]

Programmbibliotheken
Diese Dateien enthalten häufig benutzte Computercodegruppen, die sich viele Programme teilen können. Das hat mehrere Vorteile: Programmierer, die den Bibliothekscode benutzen, müssen nicht jedes mal das Rad neu erfinden; Programme, die Bibliothekscode aufrufen, müssen nicht jeweils eine Kopie des Codes mit aufnehmen, was die Dateien kleiner macht; Aktualisierungen von Bibliothekscode müssen nur in einer Datei anstatt in vielen Programmen ausgeführt werden. Die Dynamic Link Library (DLL) ist in Windows-Systemen die gebräuchlichste Bibliotheksart.

DLLs haben auch einige Nachteile. Ein Bug im Bibliothekscode verursacht ein Bug in jedem Programm, das die Bibliothek benutzt. Eine einzige nicht vorhandene Bibliotheksdatei verhindert möglicherweise reihenweise die Ausführung anderer Programme. Infiziert ein Virus eine DLL, wird automatisch jedes andere Programm infiziert, das diese DLL benutzt.

Einer dieser Viren ist der W32/Ska-Happy99-Virus, der die Datei WSOCK32.DLL infiziert, und daraufhin jeden Versuch unterbindet, E-Mails zu versenden, unabhängig von der benutzten E-Mail-Software. Der Virus schickt daraufhin eine Kopie von sich mit jeder E-Mail, die man absendet. [zurück zum Anfang]

PWL (Datei für Passwortlisten)
Wenn man sich in einem Netzwerk unter Windows anmeldet, geschieht dies meist in einem Dialog, der nach Benutzername und Kennwort fragt. Oft gibt es in diesem Dialog auch ein Kontrollkästchen, das die Möglichkeit bietet, das Kennwort speichern zu lassen, damit man es das nächste Mal nicht wieder eingeben muss, wenn man sich anmeldet.

Es ist nicht ratsam, dies zu tun, denn dadurch kann jeder, der Zugang zum Computer hat auch auf das Netzwerk zugreifen. Da Windows bereits das Kennwort kennt, das normalerweise bei jedem Neustart des Computers abgefragt wird, muss es nicht mehr eingegeben werden.

Windows speichert eine PWL-Datei in einem verschlüsselten Algorithmus, der das eigentliche Kennwort für einen flüchtigen Beobachter unsichtbar macht. Da aber Windows nicht in der Lage ist, die PWL-Datei ohne Hilfe des Benutzers selbst zu entschlüsseln, kann ein Hacker mit einer Kopie der Benutzer-PWL-Datei die Datei ebenfalls entschlüsseln.

Dies ist ein weiterer Grund, warum PWL-Dateien als unsicher angesehen werden müssen, und man sollte es unbedingt vermeiden, Windows sich das Kennwort 'merken' zu lassen. Die Unbequemlichkeit, bei jeder Anmeldung nach dem Kennwort gefragt zu werden, lohnt sich auf jeden Fall. [zurück zum Anfang]

Quarantänebereich
Antivirenprogramme benutzen diesen Begriff für den Bereich, wohin verdächtige oder infizierte Dateien verschoben werden, damit Benutzer keinen Zugriff auf sie haben, die Dateien aber nicht vollständig verloren gehen. Dies gibt Unternehmen, die auf Sicherheit bedacht sind, die Möglichkeit, infizierte Dateien vom allgemeinen Gebrauch auszuschliessen ohne sie dauerhaft zu löschen. Ein Administrator kann dann versuchen, die Viren unter kontrollierten Bedingungen zu entfernen und kann abwägen, ob die gesäuberten Dateien an ihren eigentlichen 'Eigentümer' zurückgegeben werden sollen oder nicht.

Viele Makroviren verändern Dokumente oder Tabellen absichtlich und oft hinterhältig. Nach dem Entfernen der Viren können viele Dateien, meist kaum merklich, Schäden aufweisen, die sie unzuverlässig oder unbrauchbar machen. Es ist deshalb von Vorteil, wenn ein Administrator die Entscheidung trifft, ob Dateien zurückgegeben werden sollen.

Der Virus XM/Compat beispielsweise infiziert Tabellen (siehe XLS) und macht geringfügige und graduelle Änderungen des Inhalts der numerischen Felder. Mit jedem Öffnen der Datei werden circa 1% der Zahlen um bis zu 5% nach oben oder unten verändert. In einigen Fällen ist es unannehmbar, auf diese Weise beschädigte Dateien weiter zu verwenden. Ein Administrator kann mit Hilfe des Quarantäne die Kontrolle hierüber behalten.

Nachteil der Quarantäne ist, dass dem Administrator damit viel aufgebürdet wird, besonders bei grossen Servern, die viele Benutzer unterstützen. Sollte es einen ernsten Virenbefall geben, muss der Administrator womöglich hunderte oder gar tausende Dokumente bearbeiten. Zudem können Administratoren auf diese Weise in die Situation gelangen, dass ihnen Dokumente zur Überprüfung gegeben werden, die sie normalerweise zu lesen gar nicht berechtigt sind, was wiederum gegen Firmenrichtlinien verstossen kann. [zurück zum Anfang]

RAR (RAR-Archiv)
RAR-Dateien enthalten eine Ansammlung anderer Dateien (siehe ZIP) [zurück zum Anfang]

RTF (Datei im Rich Text Format)
Dies ist eine Alternative zu DOC-Dateien, die von Microsoft Word unterstützt wird. Dateien können so gespeichert werden, dass die meisten Formatierungen erhalten bleiben. Sie können dann als RTF-Dateien anstelle von DOC-Dateien wieder in Word aufgerufen werden.

RTF-Dateien bestehen aus ASCII-Text mit eingebetteten Formatierungsbefehlen. Ein Wort etwa, das fett geschrieben ist, wird in einer RTF-Datei mittels der Zeichenreihe {\b fett} markiert. RTF-Dateien können keine Makros enthalten und somit auch nicht mit Makroviren infiziert werden.

Auf diese Art kann man gut mit Leuten ausserhalb des Unternehmens kommunizieren. Indem man Dokumente als RTF-Dateien schickt, kann man die Wahrscheinlichkeit, einen Virus aus Versehen zu übertragen, quasi auf Null reduzieren. Die Empfänger können die Datei direkt in Word öffnen und sie sogar wieder in eine Word-Datei umwandeln, wenn ihnen das lieber ist. Sollte sich die Datei später als infiziert erweisen, weiss man sicher, dass sie erst infiziert wurde, nachdem sie dort angekommen war.

Man sollte allerdings beachten, dass die Umwandlung einer Datei von DOC in RTF nicht makellos ist. Einige Formatierungen, die in Word möglich sind, überstehen die Wandlung von DOC zu RTF und zurück nicht. Bevor man auf die Verwendung von RTF umsteigt, muss man eventuell erst ein wenig mit der Umwandlung der häufig vorkommenden Firmendokumente experimentieren. Dabei fallen potentielle Layoutprobleme auf, die man mit der Vereinfachung von Formatierungstricks beheben kann, an die man sich zwar gewöhnt hat, deren Ergebnisse aber fast immer auch einfacher erreicht werden können.

Achtung! Nur weil eine Datei eine RTF-Erweiterung hat, kann man nicht davon ausgehen, dass sie auch wirklich eine RTF-Datei ist. Es gibt einige Makroviren, die den Versuch, eine Datei als RTF zu speichern abfangen und eine Speicherung im DOC-Format erzwingen, jedoch mit einer RTF-Erweiterung. Wenn man eine solche Datei per E-Mail erhält und darauf doppelklickt, versucht Word, die Datei zu öffnen. Da Word die Datei trotz ihres Namens als DOC-Datei erkennt, lädt Word sie als DOC-Datei und aktiviert dadurch den Virus.

Zum Glück ist es einfach zu überprüfen, ob eine RTF-Datei wirklich das ist, als was sie sich ausgibt. Schaut man sich eine DOC-Datei und eine RTF-Datei mit NOTEPAD an, so erscheint die RTF-Datei als lesbarer ASCII-Text, der mit {\rtf beginnt. Die DOC-Datei wird als binäres Kauderwelsch geladen. Obwohl solche Überprüfungen lästig sind, kann man so sicher sein, dass die Dinge das sind, was sie vorgeben, sollte es einmal wirklich notwendig sein. [zurück zum Anfang]

Schlüsseldateien
Einige Verschlüsselungsprogramme speichern ihre Schlüssel in einer Datei, wo man bequem Zugriff auf sie hat. Normalerweise sind die Schlüssel selbst hochverschlüsselt, d.h. man muss eine Kennwortformel eingeben, wenn man beginnt, die Schlüsseldatei zu benutzen, aber man muss nicht jeden Schlüssel eingeben, wenn er benutzt wird. Auf diese Weise ist eine gestohlene Schlüsseldatei für Hacker nur von geringem Wert.

Trotzdem ist es nicht ratsam, Schlüsseldateien auf der Festplatte zu speichern, um unangenehme Situationen gar nicht erst zu riskieren. Wenn möglich sollten sie auf austauschbaren Disketten gespeichert werden, so kann weniger schief gehen. Man sollte auch beachten, dass einige Schlüsseldateien unverschlüsselt abgespeichert werden (siehe PWL). Solche Dateien sollte man um jeden Preis meiden.

Kürzlich tauchte ein Virus auf (WM97/Caligula), der den geheimen PGP-Schlüsselring (wenn man PGP installiert hat) finden kann und ihn per FTP, hinter dem Rücken des ahnungslosen Anwenders, an die Webseite des Virenschreibers schickt. Der Virus stilisiert sich selbst zu einem 'Beispiel spionagefähiger Viren' und soll daran erinnern, dass alles, was mit Software möglich ist, in Form eines Virus möglich ist. [zurück zum Anfang]

SCR (Bildschirmschonerdateien)
Hier handelt es sich um besondere Programmdateien (siehe EXE). Sie können nicht direkt ausgeführt werden, können aber von Windows automatisch gestartet werden, nachdem sie eine vorgegebenen Zeitspanne inaktiv waren.

Da die meisten Windows-Rechner eine Vielzahl von SCR-Dateien installiert haben, und da das System sie ausführt, ohne dass man einen ausdrücklichen Befehl dazu gibt, gibt es Viren, die sie infizieren. Begehrte Bildschirmschoner werden oft per E-Mail ausgetauscht oder vom Internet heruntergeladen, jedoch sind die meisten hierbei wesentlich unvorsichtiger, als wenn es sich um EXE- oder COM-Dateien handeln würde. [zurück zum Anfang]

Trojanisches Pferd (Trojaner-Dateien)
Die Legende besagt, dass nach einem langen Krieg zwischen Griechenland und Troja, die Griechen endlich kapitulierten, ein Waffenstillstandsgeschenk hinterliessen, Troja verliessen und sich auf den Heimweg machten. Das Geschenk der Griechen war ein -grosses, hölzernes Pferd, das die Trojaner freudig entgegennahmen (obwohl sie von ihrer Hohepriesterin gewarnt wurden, die eine Täuschung vermutete). Das Pferd war grösser als das Stadttor, also wurde das Tor eingerissen. Man zog das Standbild in die Stadt und die Party begann.

Nun, die Griechen segelten nur soweit, bis sie ausser Sichtweite waren, um das Einbrechen der Dunkelheit abzuwarten. Ausserdem befand ich eine ausgewählte Gruppe griechischer Kämpfer in einer Geheimkammer innerhalb des Pferdes, die im Schutze der Nacht mit dem Schlachten begann. Ihre Landsleute segelten zurück, stürmten durch die geschwächte Abwehrmauer und vollendeten die Tat. Troja war verloren.

Und darum ist es gemeinhin nicht ratsam, ein Programm zu starten, ein Dokument anzusehen oder eine Tabelle zu verwenden, die man zugesandt bekommen hat; vor allem, wenn man den Absender nicht kennt oder man keine Mail von ihm erwartet hat. Wenn die Mail von einer nicht vertrauenswürdigen Person kommt, dann handelt es sich auch um wenig vertrauenerweckenden Inhalt, wie beschwichtigend die beigefügten Worte auch sein mögen. Man sollte auf die Hohepriesterin von Troja hören und die Anlage unbesehen löschen.

Selbst wenn sie scheinbar von jemandem ist, dem man vertraut, sollte man nichts benutzen, was man nicht erwartet. Es gibt Viren (siehe Bibliotheksdatei), die E-Mail-Anlagen im Namen anderer verschicken, um so die Empfänger in falscher Sicherheit zu wiegen. Man sollte kein schlechtes Gewissen haben, wenn man Dateien, die Programme enthalten, von Freunden und Kollegen ablehnt. Braucht man ein Programm, bekommt man es normalerweise von seinem Administrator statt von seinen Freunden und man kann stets bitten, Dokumente in RTF zuzusenden, anstatt DOC-Dateien anzunehmen. [zurück zum Anfang]

UUE (UUENCODE)
UUEENCODE (UUE), XXENCODE (XXE) und MIME64 (auch BASE64 genannt) sind Kodierungsverfahren, mit deren Hilfe Binärdateien in einfache ASCII-Dateien umgewandelt werden können, um sie per E-Mail zu verschicken. Da Textdateien meist unbeeinträchtigt von einem Mailsystem zum anderen weitergegeben werden, ist dies eine verlässliche Methode, binäre Anlagen per E-Mails zu senden. Einmal angekommen, konvertieren Dekodierungsprogramme die Dateien vom ASCII-Format zurück in reinen Binärcode und vervollständigen so die Zustellung der Anlage.

Die meisten E-Mail-Programme erkennen automatisch das Vorhandensein kodierter Dateien in E-Mails und zeigen dem Benutzer ein Fenster oder Symbol, auf welches nur geklickt werden muss, um die Anlage herunterzuladen oder zu öffnen. Mit 'öffnen' wird die Anlage dekodiert, als temporäre Datei auf der Festplatte gespeichert und dann gestartet. DOC-Dateien (siehe EXE) werden direkt als Programme gestartet.

Sicherlich, das Kodieren und Dekodieren in E-Mail-Software geschieht so bequem und es ist so einfach damit, E-Mails an Freunde und Kollegen zu schicken. Man sollte sich aber immer zuerst die Frage stellen, ob es auch wirklich nötig ist. Manchmal werden Mail-Anlagen geschickt (die immer ein Risiko in sich bergen), wenn es eine einfache Text-E-Mail (siehe ASCII) getan hätte, die sowohl Zeit als auch Kummer spart. [zurück zum Anfang]

VBS (Visual Basic Script)
Visual Basic Script ist eine neue Programmiersprache für Windows, die auf der altmodischen Batchsprache (BAT) aufbaut. Im Gegensatz zu Batchdateien, die ziemlich umständlich sind und nur begrenzte Möglichkeiten bieten, können VBS-Programme die gleiche Leistung wie jede andere Anwendung erbringen. Sie können jede Systemfunktion starten und andere Anwendungen, wie Word, unbemerkt und unsichtbar starten, benutzen und beenden.

VBS-Programme können auch in HTML-Dateien eingebettet werden (siehe HTML), um aktive Inhalte im World Wide Web zur Verfügung zu stellen. Obwohl es Sicherheitskontrollen gibt, die dafür sorgen, dass VBS-Programme, die vom Internet aus ausgeführt werden, nicht zuviel Einfluss auf den eigenen Computer nehmen können, können diese Kontrollmechanismen so angepasst werden, dass ein VBS-Virus aus dem Internet möglich wäre.

Dies bedeutet, dass man keine Veränderungen an den Sicherheitseinstellungen seines Computer vornehmen sollte, ohne sich genau über die Folgen im Klaren zu sein. Wer die Auswirkungen nicht kennt, sollte seinen Administrator zu Rate ziehen. [zurück zum Anfang]

XLS (Excel-Tabellen)
Alle Bemerkungen, die für Word-Dokument gelten, haben auch für Excel-Tabellen Gültigkeit. Excel-Dateien können Makros enthalten und somit XLS-Dateien in Programme verwandeln. Wie DOC-Dateien werden diese Makros automatisch Teil des Programms, wenn die Datei geöffnet wird.

Als der erste Excel-Virus auftauchte, war unklar, inwieweit er sich ausbreiten würde, da nicht erkennbar war, in welchem Masse XLS-Dateien von Rechner zu Rechner ausgetauscht werden. Nun, dieser Virus (XM/Laroux) wurde so weitverbreitet, dass er Nummer eins der Sophos Top 10 im März 1999 wurde. [zurück zum Anfang]

ZIP (ZIP-Archive)
ZIP-Dateien enthalten eine Ansammlung anderer Dateien. Da es mit ZIP-Dateien möglich ist, eine Reihe anderer Dateien in einem einzigen Container unterzubringen, und da ZIP-Dateien komprimiert sind, um Speicherplatz und Zeit beim Herunterladen zu sparen, sind sie im Internet sehr beliebt.

Im Gegensatz zu JPEG-Dateien und MP3 eliminieren ZIP-Dateien keine Informationen, wenn sie komprimieren. Obwohl dies die grösstmögliche Komprimierung beschränkt, können so die Originaldateien ohne Verlust bei der Dekomprimierung wiederhergestellt werden. Es leuchtet ein, dass dies für Dateien wie etwa Programme, die exakt erhalten werden müssen, unabdingbar ist.

Eine ZIP-Datei kann dann Viren enthalten, wenn eine der Dateien, die in ihr untergebracht sind, infiziert sind. Das Archiv selbst ist jedoch nicht direkt gefährlich, da alle darin enthaltenen Dateien erst entpackt werden müssen, bevor man sie verwenden kann und sie dadurch einen Virus übertragen können.

Die effektivste Art, mit ZIP-Dateien (und ähnlichen Dateien, wie RAR, ARJ, LHA oder GZIP) umzugehen, ist die Verwendung eines Antiviren-Programms bei Dateizugriff. Bei Sophos Anti-Virus ist dies die InterCheck-Komponente. Sie überwacht alle Dateien während sie erstellt oder benutzt werden, um sicherzustellen, dass sie keine Viren enthalten. Auf diese Weise werden ZIP-Dateien, die eine Vielzahl unterschiedlicher Dateien enthalten können, die eventuell nie benutzt werden, nicht als Bedrohung behandelt, solange keine der Dateien aus ihnen entpackt werden. InterCheck meldet einen Virus, sobald dieser aus einem ZIP-Archiv zum Vorschein kommt (aber noch bevor der Virus aktiviert werden kann), und verhindert so eine Virusinfektion. [zurück zum Anfang]