Guten morgen allerseits

Frage: Ist es möglich eine "echte" jpg-Datei mit Schadcode zu versetzen? Ich meine eine Art von Trojaner, der dann beim Öffnen des Bildes gestartet wird und sein Unwesen treibt?

Ich frage, weil ich heute irrtümlicherweise eine jpg-Datei aus einer e-mail angeklickt habe und damit das Bild geöffnet habe. Erst dann realisierte ich, dass es sich um einen unbekannten Versender handelt. Im Empfänger sind keine Empfänger Daten erkennbar. Die e-mail könnte somit mittels BCC an zig weitere Empfänger gesendet worden sein.

Ich liess mich zum Öffnen verleiten, da die jpg-Datei bereits in der e-mail (also noch ungeöffnet) als Miniaturbild erkennbar ist, und der Absender ähnlich wie ein Bekannter klingt. Das Bild zeigte ein Dokument. Aber ich habe es sofort wieder geschlossen, so dass ich nicht einmal den Titel des Dokumentes lesen konnte. Die angezeigte Grösse beträgt 726KB und der Name lautet "Dossier N°160422900879 du 24.02.2022"

Abgesendet wurde die e-mail scheinbar von der Adresse "marie-claire.morlende-ockondza@univ-rouen.fr". Beim Absender scheint es sich somit um eine Universität zu handeln (University of Rouen Normandy Mont-Saint-Aignan Campus).

Das Bild wurde in einer Bruchteil einer Sekunde geöffnet. Vom Gefühl her, scheint im Hintergrund nichts "abgelaufen" zu sein. Aber da kann ich mich auch gewaltig irren.

Würdet Ihr an meiner Stelle einen eigenen Thread zur Auffindung von Malware starten?

Über Eure Rückmeldungen würde ich mich freuen, Dankeschön

alouette

Der Begriff Google ist geläufig?

Es soll Menschen geben die machen freiwillig keinen Mausklick zuviel.

Aus deinem Link , damit es nicht so schwierig ist, das wichtigste zu finden:

Zitat:

Echte Bild- und Video-Formate (BMP, GIF, JPG, MPEG, AVI etc.) können beim heutigen Stand der Dinge keine Viren enthalten. Das Anzeigen von GIF- oder JPG-Bildern (z.B. in HTML-Mails) lässt sich auch nicht verhindern, es sei denn, Sie schalten die Option auch im Internet Explorer aus.

Das Computer Blöd Blatt weiß es besser:
https://www.computerbild.de/artikel/...-18778877.html

Zitat:

Die Kriminellen werden daher immer origineller. Der neueste Trick, um eine Erkennung zu vermeiden: Ransomware in JPG-Dateien.

Und auch die wissen es besser
https://www.oe24.at/digital/software...hern/449188356
allerdings geht es hier um whatsapp

Zitat:

Zitat von PC_User

Der Begriff Google ist geläufig?

Es soll Menschen geben die machen freiwillig keinen Mausklick zuviel.

Hallo

Glaub mir, ich hatte mich zuvor bemüht, und bereits mich auf die Suche gemacht, ob hinter einer jpg-Datei Schadcode hinterlegt sein könnte. Nachfolgend war der erste Link, den ich heute morgen nach dem Vorfall geöffnet hatte:

https://winfuture.de/news,99213.html

Zitat:

Zitat:

JPG mit Trojaner-Funktion
In die Bilddateien - die wirklich als JPG funktionieren und bei der Öffnung mit entsprechender Software einfach ein Album-Cover zeigen, ist der Code eines ZIP-Archivs eingebettet. Dieses wird von dem WSF-Skript aus der JPG-Datei herausgetrennt und ausgepackt. Erst jetzt kommt der ausführbare Code zum Vorschein, der die Daten des Nutzers verschlüsselt und den Anwender zur Zahlung eines Lösegeldes auffordert.

Ich verstehe da nur Bahnhof aber befürchte, dass es eben doch möglich ist.
Ja, das File hatte sich wie eine echte jpg verhalten. Aber ich bin nun mal kein Software-Experte und kann mir beim besten Willen nicht vorstellen, was heutzutage möglich ist. Zudem stellt sich auch die Frage nach der Motivation des Absenders, wenn man mit dem gar nie etwas zu tun hatte. Da liegt es nahe, das Schlimmste zu befürchten.

https://winfuture.de/news,99213.html

Die Info ist fünf Jahre alt und eine ziemlich exotische Konstellation. Wenn das häufiger aufgetreten wäre, wäre in den vergangenen fünf Jahren garantiert wieder darüber berichtet worden.

Es gibt eine Beschreibung der Arbeitsweise des Trojaners
ht*ps://www.pcrisk.de/ratgeber-zum-entfernen/8553-synccrypt-ransomware

aber keine einzige Meldung seit 2017 ob und wo er aufgetreten wäre. Warum in 2021 diese Analyse veröffentlich wurde, ist mir nicht klar, da es keine aktuellen Anlass gab/gibt

PS: der obige Beschreibung von einer Seite angeblich in Litauen

Zitat:

18, I. Kanto str.
44296 Kaunas, Lithuania
Europäische Union

und die nicht so super eingestuft wird
https://trustscam.de/pcrisk.de
Die Seite startete 2013 und hat bis heute kein vorschriftsmäßiges Impressum

Dankeschön für den Link

Ich habe die jpg-Datei von wintotal und hybrid-analysis testen lassen, und in beiden Fällen wurde das file als "sauber" deklariert.

Stellt sich nur die Frage, ob ein etwaiger Script in der Datei überhaupt entdeckt werden kann?


Bei der suche nach 8553-synccrypt-ransomware bin ich auf diese Seite geraten:

https://www.itmagazine.ch/artikel/65344/Ransomware_Synccrypt_versteckt_sich_in_JPG-Dateien.html

Dort steht:

Zitat:

Wie "Heise.de" in einem Beitrag meldet, verbreitet sich die Schadsoftware mittels Spam-Mails, deren Anhang ein Windows Script File (.wsf) ist, das bei Aktivierung den Download von Synccrypt startet. Weil sich Synccrypt in einer JPG-Datei versteckt, wird sie von Virenscannern nicht entdeckt. Ist die Datei erst einmal auf dem Rechner, öffnet das Script ein in der Bilddatei verstecktes Zip-Archiv, in dem sich die eigentliche Schadsoftware befindet, die danach ausgeführt wird.
...
Aktuell gibt es noch keine Möglichkeit, die verschlüsselten Dateien wieder zu entschlüsseln, aber immerhin kann Synccrypt nur durch das Script-File aktiviert werden. Die Bilddatei selbst ist für sich genommen harmlos.

Der Anhang war ja (meiner Meinung nach) keine .wsf-Datei sondern ein jpg-file. Wenn die wsf-Datei sich in der JPG-Datei befindet und beim Öffnen des Bildes der Download von Synccrypt gestartet wird, wie lange würde es dauern, bis ich davon etwas merke? Zur Zeit scheinen noch keine Daten verschlüsselt zu sein. Kann es Stunden, Tage oder gar Wochen dauern, bis das Zip-Archiv in der Bilddatei geöffnet wird, in der sich die Schadsoftware befinden könnte? Auf jeden Fall habe ich die besagte Datei umgehend (wenn auch erst gerade) gelöscht!

die für mich einigermassen verständlichste Erklärung findet sich bei heise security: https://www.heise.de/security/meldung/SyncCrypt-Neue-Ransomware-lauert-in-JPG-Dateien-3808437.html

Zur Ausführung des Scripts (Schadcode) ist erwähnt:

Zitat:

Um zu überprüfen, ob SyncCrypts Tarnung funktioniert, lud Abrams sowohl die .jpg- als auch die daraus extrahierte .exe-Datei beim Online-Scandienst VirusTotal hoch. Unmittelbar nach dem Upload erkannte nur einer von 58 Scannern die .jpg-Datei, während immerhin 28 von 63 Engines bei der .exe-Datei Alarm schlugen.

Abrams betont, dass die Bilddatei für sich genommen keinen Schaden anrichten könne. Rufe man sie direkt über eine von drei im Skript enthaltenen URLs auf, so sehe man einfach nur ein Album-Cover des isländischen Musikers Ólafur Arnalds. Erst in Kombination mit dem Windows Script File komme der enthaltene Schadcode zur Ausführung.

Ich kann mich nicht an den Inhalt des "Bildes" erinnern. Es war Text. Auf jeden Fall gab es in der e-mail keine URL's zum anklicken.

Zitat:

Zitat von alouette

https://www.itmagazine.ch/artikel/65344/Ransomware_Synccrypt_versteckt_sich_in_JPG-Dateien.html

<https://www.heise.de/security/meldung/SyncCrypt-Neue-Ransomware-lauert-in-JPG-Dateien-3808437.html[/url]

Beide Artikel stammen von 2017 , alle Artikel zu diesem Zeitpunkt sind mehr oder weniger abgekupfert.
Wo/wer es als erster geschrieben hat, ist mir zu mühsam rauszufinden...
Danach ist Funkstille.

nochmal: es gibt keine aktuellen Hinweise auf aktive Schadstoffverbreitung über Bilddateien

alouette, glaub doch bitte den Leuten(webwatcher)hier mal was. Wäre wirklich die Schadware in dem Bild drinnen gewesen, von der 2017 bei deinem Heise Bericht berichtet wurde, hätte die Ransomware schon Dateien auf deinem PC verschlüsselt und glaubst du wirklich, die Virenschutzhersteller würden nicht auf eine Ransomware Variante von 2017 reagieren und die agieren lassen indem Sie keine Signaturen dafür bringen?

ja, ich habe verstanden, der Trojaner, den ich verlinkt habe, ist von August 2017. Seither ist es still geworden und es wären vermehrt Schadmeldungen eingegangen, wenn da etwas dran wäre. Zudem sind die Virenscanner aufgerüstet worden und würden den Schadcode, selbst wenn dieser in einer jpg-Datei versteckt ist, sofort entdecken.

Ich hatte die e-mail mit der Bilddatei noch auf meinem Smartphone und habe mich gewagt, die Bilddatei zu öffnen. Dann habe ich einen Printscreen angefertigt und der liegt hier bei. Daraus erkennt man, dass es sich um ein Gerichtsdokument von Europol in Frankreich handelt mit dem man mich auffordert zu bestimmten Delikten (Thema Pädophile und Pornographie) Stellung zu beziehen.

Und Zufall oder nicht, bei dem Vorfall im August 2017 war auch von einem Gerichtsdokument die Rede (siehe verlinkter Artikel von winfuture). Nur, dass die gestern erhaltenen Datei mit 25.02.2022 datiert ist.

Ich nutze auf dem PC Windows 10 mit dem integrierten Virenschutz. Beim Öffnen der Datei gab MS Defender Antivirus keine Warnmeldung. Entweder ist das Antivirusprogramm ausgetrickst worden oder in der jpg-Datei gibt es kein Schadcode. Und da ich mich nicht auskenne, habe ich mich hier gemeldet. Woher kann ich wissen, ob webwatcher sich mit der besagten e-mail bzw. mit dem Anhang auskennt? Zudem kannte ich ja den Inhalt der jpg-Datei nicht, weil ich diese im Schreck sofort geschlossen hatte. Jetzt, wo ich den Inhalt kenne, kann ich davon ausgehen, dass der Versender wohl darauf wartet, dass ich auf die e-mail antworte und so unbewusst meine IP Adresse und andere Daten preisgebe, die mich angreifbar machen könnten.

Ich gehöre hier zu den wenigen, denen einmal sämtliche Dateien auf der Platte verschlüsselt wurden und Bitcoins im Wert von über € 500.- bezahlt haben, um die Daten zurück zu erlangen. Das schlimmste damals im Juli 2012 war aber, dass ich keine Ahnung hatte was Bitcoins waren, wie und wo man solche transferiert und dass mir weder EDV-Experten noch meine Bank helfen konnte oder wollte. Als dann Stunden vor Ablauf der Zahlungsfrist, ich die Überweisung machen konnte, funktionierte der Entcodier-Schlüssel des Erpressers nicht sofort. Glaubt mir, wenn man eine Woche lange sich in die Materie einstudiert hat und man als Schweizer unzählige Telefonate nach England und in die Niederlande führen musste, um eine Bitcoin-Wallet zu eröffnen, aber dann nach Zahlung der Lösegeldforderung die Dateien nicht sofort entschlüsseln lassen, ist man nahe am Nervenzusammenbruch. Heutzutage ist das Eröffnen einer Wallet und das Zahlen mit Bitcoins das normalste was es gibt. Und natürlich mache ich inzwischen Backups, wenn auch nicht täglich. Und das Szenario möchte ich nicht noch einmal erleben.

Man möge mir verzeihen, dass ich hier mehrmals nachgebohrt habe und den Eindruck vermittelt habe, dass ich hier niemandem vertraue. Ich war nun einmal verunsichert! Merci fürs Verständnis.

Zitat:

Zitat von alouette

Ich gehöre hier zu den wenigen, denen einmal sämtliche Dateien auf der Platte verschlüsselt wurden und Bitcoins im Wert von über € 500.- bezahlt haben, um die Daten zurück zu erlangen. Das schlimmste damals im Juli 2012 war aber, dass ich keine Ahnung hatte was Bitcoins waren, wie und wo man solche transferiert und dass mir weder EDV-Experten noch meine Bank helfen konnte oder wollte.

Zu dem Zeitpunkt wußten nur sehr wenige davon und ganz offen, das Prinzip wie man Geld schöpft d.h. aus dem Nichts d.h am heimischen Herd bzw PC "schürft" ist mir bis heute nicht klar. Hab mal im Bekanntenkreis Banker gefragt: die haben alle nur den Kopf geschüttelt. Im übrigen halte ich für umweltschädlich im höchsten Maß. Die "Farmen" verbrauchen weltweit soviel elektrische Energie wie Belgien oder die Niederlande.
https://www.pcwelt.de/ratgeber/Bitco...s-4917667.html

Zitat:

Wir sagen, worauf Sie beim Mining von Bitcoins achten müssen und zeigen kostenlose Tools aus der Cloud und Webbrowser, mit denen Sie nebenbei Geld verdienen.

Den Sinn von Geld sehe ich als Zahlungsmittel Geld gegen Ware oder Dienstleistung und umgekehrt.
IMHO Luftblasen, die in sich zusammenfallen werden.

Die Erfinder des Blockchain haben vermutlich nicht geahnt, was aus ihrem "genialen" Konzept werden würde.

alouette, es ist ja schön, wenn du dich mit den Risiken auseinandersetzt, aber sich auf solche theoretischen Angriffe zu konzentrieren ist nicht wirklich zielführend.
Grundsätzlich ist ein Bild erstmal nur ein Bild, also eine Datei nur mit Daten. Da ist kein ausführbarer Code drin. Und Bildprogramme sollen auch nur die Daten verarbeiten und als Bild darstellen aber da wird kein Code ausgeführt.
Nun kann es sein, dass ein Bildbetrachter wie IrfanView eine Sicherheitslücke hat und dann eine ganz speziell präparierte Bilddatei dann beim dazu führt, dass Schadcode ausgeführt wird. Das ist aber so selten...auf die Schnelle hab ich nur dieses Beispiel gefunden - und der Artikel ist vom 24.09.2004

Abhilfe: Nicht nur das OS sondern auch ständig alle Programme aktuell halten (--> chocolatey nutzen!), natürlich alle anderen Sicherheitsregeln beachten und auf keinen Fall sich nur passiv auf den Virenscanner fokussieren!

Zitat:

Zitat von cosinus

Das ist aber so selten...auf die Schnelle hab ich nur dieses Beispiel gefunden - und der Artikel ist vom 24.09.2004

Es wird 2010 & 2017 nochmal erwähnt:

https://www.microsoft.com/en-us/wdsi...2FMS04028!jpeg

Zitat:

Exploit:Win32/MS04028!jpeg is a detection for a specially crafted image file (.JPG) that exploits a vulnerability discussed in Microsoft Security Bulletin MS04-028. The exploit could cause a buffer overrun leading to the execution of arbitrary code.

Wo und wie er in freier Wildbahn aufgetaucht ist, wird nirgends berichtet

Nach 2017 gibt es keinen einzigen Hinweis auf Trojanerbefall per jpeg

Eben, deswegen meinte ich ja auch, dass das eher theoretische Angriffe sind. Und die laufen auch noch ins Leere, wenn rechtzeitig Sicherheitslücken durch Updates geschlossen wurden.

Zitat:

Zitat von alouette

Ich gehöre hier zu den wenigen, denen einmal sämtliche Dateien auf der Platte verschlüsselt wurden und Bitcoins im Wert von über € 500.- bezahlt haben, um die Daten zurück zu erlangen.

Das ist aber sehr schlecht. Weil mit der Zahlung unterstützt Du aktiv Kriminelle, die mit diesem Geld als Basis wiederum weitere Menschen erpressen. Alleine schon von daher sind externe, gut strukturierte Mehrfachbackups Pflicht! Hast Du solche Backups seit dem Vorfall 2012 konsequent angelegt? Die betonung liegt auf "gut strukturiert"! Denn viele denken, sie haben Backups angelegt, und wenn man es genauer betrachtet, sind es keine oder nur schlechte Backups, die ihrem Namen nicht gerecht werden. Wie genau sieht also derzeit Dein Backup-Konzept aus?

Zitat:

Das schlimmste damals im Juli 2012 war aber, dass ich keine Ahnung hatte was Bitcoins waren, wie und wo man solche transferiert und dass mir weder EDV-Experten noch meine Bank helfen konnte oder wollte.

Nein, das schlimmste ist, dass Du Verbrechern Geld gezahlt hast.

Zitat:

Man möge mir verzeihen, dass ich hier mehrmals nachgebohrt habe und den Eindruck vermittelt habe, dass ich hier niemandem vertraue. Ich war nun einmal verunsichert! Merci fürs Verständnis.

Das ändert nichts an der Tatsache, dass Dein Sicherheitskonzept faktisch keines ist. Weil das Klickverhalten bei E-Mails nicht stimmt. Das Thema hatten wir doch schon vor einem Jahr bereits:
-> https://www.trojaner-board.de/201019...ml#post1747824

Da hatten wir Dir auch schon sehr wichtige Hinweise gegeben, ich ebenfalls:
-> https://www.trojaner-board.de/201019...ml#post1748691

Was davon hast Du umgesetzt? Wie aktuell hast Du Deine Software gehalten, in diesem Fall das Bildanzeigeprogramm? Welches Office- und E-Mail-Programm in welcher Version ist jetzt im Einsatz?

Solche Infos wären jetzt mal wichtiger und sinngebender als Panik nach erneut unangepasstem eigenem Klickverhalten.