Vista: Dateien lassen sich mit Sonderzeichen tarnen

Wie Heise berichtet, können Angreifer unter Windows Vista die Namen und Endungen von Dateien mit Hilfe von Unicode-Zeichencodierungen so manipulieren, dass Schad-Software getarnt werden kann. Als Beispiel nennt man die Tarnung einer Bildschirmschonerdatei als JPEG-Bild. Hintergrund dieses Problems, das bei Windows XP nicht aufteten soll, ist die Möglichkeit, Unicode-Steuerzeichen für die Änderung der Schreibrichtung auch in Dateinamen zu verwenden. Bestimmte Steuerzeichen lassen sich laut Heise so verwenden, dass der zu tarnende Teil des Dateinamens ausgeblendet wird.

Warum diese Möglichkeit überhaupt in Windows Vista enthalten ist, ist unklar, da derartige Sonderzeichen, die zum Beispiel im arabischen Sprachraum genutzt werden, in Dateinamen keinen Zweck erfüllen. Unter Umständen wäre ein Patch von Microsoft in diesem Falle nötig, um die Kunden vor einem Missbrauch dieses "Schwachstelle" zu schützen.

Die bei unbekannten Dateien aus dem Internet üblichen Hinweise auf getarnte Schädlinge mit modifizierten Dateinamen gelten in diesem Fall nur in beschränktem Maß. Der Anwender kann schließlich kaum nachvollziehen, ob es sich um Schad-Software handelt, da der Dateiname auch beim Öffnen mit entsprechenden Optionen so aussieht, als handele es sich um eine normale Datei im richtigen Format.

Einzig das Icon der Datei kann ein ausführbares Programm in diesem Fall noch verraten. Auch das Symbol kann jedoch von einem Angreifer so angepasst werden, dass die getarnte Datei zumindest mit Vistas Bordmitteln nicht als Schad-Programm identifizierbar ist. Die Datei-Explorer anderer Programme stellen den Dateinamen ohne die Sonderzeichen dar, wie Heise am Beispiel von 7-Zip demonstriert.

Weitere Informationen: Heise.de