Wie Bilder Ihren Computer über soziale Medien infizieren können

Wie Bilder Ihren Computer über soziale Medien infizieren können

⌛ Reading Time: 4 minutes

Wenn Sie mäßig technisch versiert sind und an ein infiziertes System hören, denken Sie normalerweise an einen ausführbaren Code, der seine sichersten Funktionen irgendwie entführt hat. Infektionen können sich auf verschiedene Arten ausbreiten, aber eines bleibt sicher: Die Verbindung zwischen Viren und ausführbarem Code ist so stark, dass wir nicht unbedingt glauben, dass wir uns vor Dateitypen wie JPEGs, PNG-Bildern und MP3-Dateien schützen müssen. Oder wir? Im Gegensatz zur vorherigen Behauptung wurden die ersten beiden Dateitypen, die ich erwähnt habe, verwendet Computer über Social-Media-Messaging-Systeme infizieren auf Facebook und LinkedIn, wie von Jon Fingas für Engadget am 27. November 2016 berichtet.

Was ist los?

Am 18. Februar 2016 fand Symantec eine ziemlich seltsame Software, die sich als neue Variante der Ransomware herausstellte, die sich über das Web verbreitet (wenn Sie nicht wissen, was Ransomware ist, lesen Sie dies). Diese besondere Sorte – bekannt als Locky – verbreitete sich zwischen Januar und März 2016 über Spam-E-Mails mit Anhängen mit einer Rate von ungefähr zehn bis zwanzigtausend Opfern pro Woche. Es ist nicht unbedingt schockierend zu sehen, wie sich Viren auf diese Weise verbreiten. E-Mail-Nachrichten mit ZIP-Anhängen sind seit Anfang der 90er Jahre die Strategie der Impfung.

Dann passierte etwas anderes.

Gegen Ende November 2016 sahen Benutzer auf Facebook und LinkedIn Nachrichten mit Bildanhängen. Sie scheinen ziemlich sicher zu sein, aber als sie geöffnet wurden, enthüllten sie eine neue Sorte von Locky, die die Systemdateien verschlüsselt und nur dann entsperrt, wenn das Opfer ein Lösegeld zwischen 200 und 400 US-Dollar bezahlt. Der schockierendste Teil davon war, dass sich der Virus eher durch Bilder als durch konventionell ausgeführten Code verbreitete.

Nicht alles ist so, wie es scheint

lockymalware-facebook

Obwohl Bilder sicherlich verwendet werden, um Menschen in sozialen Medien zu infizieren, sieht es nicht ganz so aus! Ich habe mir den Mechanismus von Locky und seine rutschigen Wege etwas genauer angesehen, und es sieht so aus, als ob die Geschichte mehr beinhaltet als eine Reihe von JPEGs, die “auf der Suche nach dir sind”.

Zunächst einmal verteilen Sie das, wenn Sie die Malware an jemanden senden Eindruck dass Sie jemandem ein Bild in den sozialen Medien geben. Es gibt einen Fehler im Code von Facebook und LinkedIn, der es ermöglicht, bestimmte Dateien mit dem Bildsymbol zu übertragen, sodass der Empfänger glaubt, ein harmloses Bild von einer Haustierkatze oder einem neuen Garten erhalten zu haben. Was der Empfänger tatsächlich herunterlädt, ist eine HTA-Datei, ein sehr altes ausführbares Programm für Windows, das es seit 1999 gibt (ein weiteres Element, das der Liste der Gründe hinzugefügt werden sollte, warum Software in den 90er Jahren völlig verrückt war).

Grundsätzlich ähneln HTA-Anwendungen EXEs, nur dass sie über „mshta.exe“ liegen und von Administratoren verwendet wurden, um schnell Änderungen an Systemen vorzunehmen. Da sie das volle „Vertrauen“ des Systems haben, auf dem sie ausgeführt werden, können sie jede Menge Chaos anrichten, die ihr Code ihnen erlaubt.

So verhindern Sie eine Infektion

Sobald Sie mit Locky infiziert sind, können Sie nur noch hoffen, dass Sie eine Anti-Malware-Anwendung finden, die diese entfernen kann, während Sie im abgesicherten Modus gestartet werden. Aber die Infektion überhaupt zu verhindern, ist ziemlich einfach. Wenn Sie eine Bilddatei auf Facebook erhalten und diese keine Vorschau wie das folgende Bild hat, werden Sie wahrscheinlich aufgefordert, sie herunterzuladen.

lockymalware-vorschau

Überprüfen Sie nach dem Herunterladen der Datei deren Erweiterung. Wenn nicht JPG, JPEG, PNG oder etwas anderes angezeigt wird, das wie ein Bild aussieht, handelt es sich wahrscheinlich um einen Virus. Wir haben Locky im HTA-Format gesehen, aber es könnte auch in anderen Arten von ausführbaren Codes auftreten (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI usw.). Halten Sie einfach Ausschau nach Dateierweiterungen und achten Sie auf alles, was Sie nicht erkennen. Eine todsichere Möglichkeit, um zu überprüfen, ob es sich bei der empfangenen Datei um ein Bild handelt, besteht darin, zu prüfen, ob Windows Explorer eine Vorschau anzeigt, wenn Sie den Anzeigestil in “Große Symbole” ändern.

Haben Sie weitere nützliche Ratschläge? Sag es uns in einem Kommentar!