Wenn Sie mäßig technisch versiert sind, denken Sie normalerweise immer an einen ausführbaren Code, der seine sichersten Funktionen gekapert hat. Infektionen können sich auf verschiedene Arten verbreiten, aber eines ist sicher: Die Verbindung zwischen Viren und ausführbarem Code ist so stark, dass wir nicht unbedingt glauben, dass wir uns vor Dateitypen wie JPEGs, PNG-Bildern und MP3-Dateien schützen müssen. Oder wir? Im Gegensatz zu der vorherigen Behauptung wurden die ersten zwei Dateitypen, die ich erwähnt habe, verwendet worden, um Computer über Social-Media-Messaging-Systeme auf Facebook und LinkedIn zu infizieren, wie von Jon Fingas für Engadget am 27. November 2016 berichtet.

Was ist los?

Am 18. Februar 2016 fand Symantec eine ziemlich merkwürdige Software, die sich als eine neue Variante der Ransomware herausstellte, die sich im Internet verbreitete (wenn Sie nicht wissen, was Ransomware ist, beziehen Sie sich darauf). Diese besondere Sorte - bekannt als Locky - verbreitet sich zwischen Januar und März 2016 über Spam-E-Mails mit Anhängen zwischen etwa zehn und zwanzig tausend Opfern pro Woche. Es ist nicht unbedingt schockierend, dass Viren auf diese Weise verbreitet werden. E-Mail-Nachrichten mit ZIP-Anhängen waren seit den frühen 90er Jahren die erste Impfmethode.

Dann passierte etwas anderes.

Ende November 2016 haben Nutzer auf Facebook und LinkedIn Nachrichten mit Bildanhängen versendet. Sie scheinen ziemlich sicher zu sein, aber als sie geöffnet wurden, enthüllten sie eine neue Sorte von Locky, die die Dateien des Systems verschlüsseln und nur entsperren würde, wenn das Opfer ein Lösegeld zwischen 200 und 400 US-Dollar bezahlte. Der schockierendste Teil davon war, dass sich der Virus eher durch Bilder verbreitete als durch konventionell ausgeführten Code.

Nicht alles ist wie es scheint

Obwohl Bilder sicherlich verwendet werden, um Leute in sozialen Medien zu infizieren, ist es nicht ganz so, wie es aussieht! Ich habe den Mechanismus von Locky und seine schlüpfrigen Methoden ein wenig genauer betrachtet, und es sieht so aus, als gäbe es mehr in der Geschichte als eine Reihe von JPEGs, die "dich rausholen".

Zunächst einmal, was Sie verteilen, wenn Sie die Malware an jemanden senden, ist der Eindruck, dass Sie jemandem ein Bild auf sozialen Medien geben. Es gibt einen Fehler im Code von Facebook und LinkedIn, der es ermöglicht, bestimmte Dateien mit dem Bildsymbol zu übertragen, was den Empfänger glauben lässt, dass sie ein harmloses Bild von einer Hauskatze oder einem neuen Garten von jemandem erhalten haben. Was der Empfänger tatsächlich herunterlädt, ist eine HTA-Datei, ein sehr altes ausführbares Programm für Windows, das es seit 1999 gibt (ein weiterer Punkt, der zu der Liste der Gründe hinzugefügt wurde, warum Software in den 90er Jahren völlig verrückt war).

Grundsätzlich sind HTA-Anwendungen wie EXEs, außer dass sie auf "mshta.exe" überlagert sind und von Administratoren verwendet wurden, um schnell Änderungen an Systemen vorzunehmen. Da sie das volle "Vertrauen" des Systems haben, auf dem sie laufen, können sie jede Menge Schaden anrichten, die ihr Code ihnen erlaubt.

Wie man Infektion verhindert

Sobald Sie mit Locky infiziert sind, können Sie nicht viel tun, außer dass Sie eine Anti-Malware-Anwendung finden, die sie entfernen kann, während Sie im abgesicherten Modus gebootet werden. Aber die Infektion von vornherein zu verhindern, ist ziemlich einfach. Wenn Sie eine Bilddatei auf Facebook erhalten und keine Vorschau wie in der Abbildung unten angezeigt wird, werden Sie wahrscheinlich aufgefordert, sie herunterzuladen.

Sobald Sie die Datei heruntergeladen haben, überprüfen Sie ihre Erweiterung. Wenn es nicht JPG, JPEG, PNG oder irgendetwas anderes sagt, das wie ein Bild aussieht, ist es wahrscheinlich ein Virus. Wir haben Locky im HTA-Format gesehen, aber es könnte auch in anderen Arten ausführbarer Codes (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI usw.) vorkommen. Halten Sie einfach Ausschau nach Dateierweiterungen und seien Sie vorsichtig bei allem, was Sie nicht erkennen. Ein sicherer Weg, um zu überprüfen, ob es sich bei der Datei, die Sie erhalten haben, um ein Bild handelt, ist, ob Windows Explorer Ihnen eine Vorschau anzeigt, wenn Sie den Anzeigestil auf "Große Symbole" ändern.

Haben Sie noch weitere nette Ratschläge zu teilen? Erzähle uns in einem Kommentar!