|
(Echte) jpg-Datei mit Schadcode? Guten morgen allerseits Frage: Ist es möglich eine "echte" jpg-Datei mit Schadcode zu versetzen? Ich meine eine Art von Trojaner, der dann beim Öffnen des Bildes gestartet wird und sein Unwesen treibt? Ich frage, weil ich heute irrtümlicherweise eine jpg-Datei aus einer e-mail angeklickt habe und damit das Bild geöffnet habe. Erst dann realisierte ich, dass es sich um einen unbekannten Versender handelt. Im Empfänger sind keine Empfänger Daten erkennbar. Die e-mail könnte somit mittels BCC an zig weitere Empfänger gesendet worden sein. Ich liess mich zum Öffnen verleiten, da die jpg-Datei bereits in der e-mail (also noch ungeöffnet) als Miniaturbild erkennbar ist, und der Absender ähnlich wie ein Bekannter klingt. Das Bild zeigte ein Dokument. Aber ich habe es sofort wieder geschlossen, so dass ich nicht einmal den Titel des Dokumentes lesen konnte. Die angezeigte Grösse beträgt 726KB und der Name lautet "Dossier N°160422900879 du 24.02.2022" Abgesendet wurde die e-mail scheinbar von der Adresse "marie-claire.morlende-ockondza@univ-rouen.fr". Beim Absender scheint es sich somit um eine Universität zu handeln (University of Rouen Normandy Mont-Saint-Aignan Campus). Das Bild wurde in einer Bruchteil einer Sekunde geöffnet. Vom Gefühl her, scheint im Hintergrund nichts "abgelaufen" zu sein. Aber da kann ich mich auch gewaltig irren. Würdet Ihr an meiner Stelle einen eigenen Thread zur Auffindung von Malware starten? Über Eure Rückmeldungen würde ich mich freuen, Dankeschön alouette |
Der Begriff Google ist geläufig? Es soll Menschen geben die machen freiwillig keinen Mausklick zuviel. |
Aus deinem Link , damit es nicht so schwierig ist, das wichtigste zu finden: Zitat:
https://www.computerbild.de/artikel/...-18778877.html Zitat:
https://www.oe24.at/digital/software...hern/449188356 allerdings geht es hier um whatsapp |
Zitat:
Glaub mir, ich hatte mich zuvor bemüht, und bereits mich auf die Suche gemacht, ob hinter einer jpg-Datei Schadcode hinterlegt sein könnte. Nachfolgend war der erste Link, den ich heute morgen nach dem Vorfall geöffnet hatte: https://winfuture.de/news,99213.html Zitat: Zitat:
Ja, das File hatte sich wie eine echte jpg verhalten. Aber ich bin nun mal kein Software-Experte und kann mir beim besten Willen nicht vorstellen, was heutzutage möglich ist. Zudem stellt sich auch die Frage nach der Motivation des Absenders, wenn man mit dem gar nie etwas zu tun hatte. Da liegt es nahe, das Schlimmste zu befürchten. |
https://winfuture.de/news,99213.html Die Info ist fünf Jahre alt und eine ziemlich exotische Konstellation. Wenn das häufiger aufgetreten wäre, wäre in den vergangenen fünf Jahren garantiert wieder darüber berichtet worden. Es gibt eine Beschreibung der Arbeitsweise des Trojaners ht*ps://www.pcrisk.de/ratgeber-zum-entfernen/8553-synccrypt-ransomware aber keine einzige Meldung seit 2017 ob und wo er aufgetreten wäre. Warum in 2021 diese Analyse veröffentlich wurde, ist mir nicht klar, da es keine aktuellen Anlass gab/gibt PS: der obige Beschreibung von einer Seite angeblich in Litauen Zitat:
https://trustscam.de/pcrisk.de Die Seite startete 2013 und hat bis heute kein vorschriftsmäßiges Impressum |
Liste der Anhänge anzeigen (Anzahl: 2) Dankeschön für den Link Ich habe die jpg-Datei von wintotal und hybrid-analysis testen lassen, und in beiden Fällen wurde das file als "sauber" deklariert. Stellt sich nur die Frage, ob ein etwaiger Script in der Datei überhaupt entdeckt werden kann? Bei der suche nach 8553-synccrypt-ransomware bin ich auf diese Seite geraten: https://www.itmagazine.ch/artikel/65344/Ransomware_Synccrypt_versteckt_sich_in_JPG-Dateien.html Dort steht: Zitat:
die für mich einigermassen verständlichste Erklärung findet sich bei heise security: https://www.heise.de/security/meldung/SyncCrypt-Neue-Ransomware-lauert-in-JPG-Dateien-3808437.html Zur Ausführung des Scripts (Schadcode) ist erwähnt: Zitat:
|
Zitat:
Wo/wer es als erster geschrieben hat, ist mir zu mühsam rauszufinden... Danach ist Funkstille. nochmal: es gibt keine aktuellen Hinweise auf aktive Schadstoffverbreitung über Bilddateien |
alouette, glaub doch bitte den Leuten(webwatcher)hier mal was. Wäre wirklich die Schadware in dem Bild drinnen gewesen, von der 2017 bei deinem Heise Bericht berichtet wurde, hätte die Ransomware schon Dateien auf deinem PC verschlüsselt und glaubst du wirklich, die Virenschutzhersteller würden nicht auf eine Ransomware Variante von 2017 reagieren und die agieren lassen indem Sie keine Signaturen dafür bringen? |
Liste der Anhänge anzeigen (Anzahl: 1) ja, ich habe verstanden, der Trojaner, den ich verlinkt habe, ist von August 2017. Seither ist es still geworden und es wären vermehrt Schadmeldungen eingegangen, wenn da etwas dran wäre. Zudem sind die Virenscanner aufgerüstet worden und würden den Schadcode, selbst wenn dieser in einer jpg-Datei versteckt ist, sofort entdecken. Ich hatte die e-mail mit der Bilddatei noch auf meinem Smartphone und habe mich gewagt, die Bilddatei zu öffnen. Dann habe ich einen Printscreen angefertigt und der liegt hier bei. Daraus erkennt man, dass es sich um ein Gerichtsdokument von Europol in Frankreich handelt mit dem man mich auffordert zu bestimmten Delikten (Thema Pädophile und Pornographie) Stellung zu beziehen. Und Zufall oder nicht, bei dem Vorfall im August 2017 war auch von einem Gerichtsdokument die Rede (siehe verlinkter Artikel von winfuture). Nur, dass die gestern erhaltenen Datei mit 25.02.2022 datiert ist. Ich nutze auf dem PC Windows 10 mit dem integrierten Virenschutz. Beim Öffnen der Datei gab MS Defender Antivirus keine Warnmeldung. Entweder ist das Antivirusprogramm ausgetrickst worden oder in der jpg-Datei gibt es kein Schadcode. Und da ich mich nicht auskenne, habe ich mich hier gemeldet. Woher kann ich wissen, ob webwatcher sich mit der besagten e-mail bzw. mit dem Anhang auskennt? Zudem kannte ich ja den Inhalt der jpg-Datei nicht, weil ich diese im Schreck sofort geschlossen hatte. Jetzt, wo ich den Inhalt kenne, kann ich davon ausgehen, dass der Versender wohl darauf wartet, dass ich auf die e-mail antworte und so unbewusst meine IP Adresse und andere Daten preisgebe, die mich angreifbar machen könnten. Ich gehöre hier zu den wenigen, denen einmal sämtliche Dateien auf der Platte verschlüsselt wurden und Bitcoins im Wert von über € 500.- bezahlt haben, um die Daten zurück zu erlangen. Das schlimmste damals im Juli 2012 war aber, dass ich keine Ahnung hatte was Bitcoins waren, wie und wo man solche transferiert und dass mir weder EDV-Experten noch meine Bank helfen konnte oder wollte. Als dann Stunden vor Ablauf der Zahlungsfrist, ich die Überweisung machen konnte, funktionierte der Entcodier-Schlüssel des Erpressers nicht sofort. Glaubt mir, wenn man eine Woche lange sich in die Materie einstudiert hat und man als Schweizer unzählige Telefonate nach England und in die Niederlande führen musste, um eine Bitcoin-Wallet zu eröffnen, aber dann nach Zahlung der Lösegeldforderung die Dateien nicht sofort entschlüsseln lassen, ist man nahe am Nervenzusammenbruch. Heutzutage ist das Eröffnen einer Wallet und das Zahlen mit Bitcoins das normalste was es gibt. Und natürlich mache ich inzwischen Backups, wenn auch nicht täglich. Und das Szenario möchte ich nicht noch einmal erleben. Man möge mir verzeihen, dass ich hier mehrmals nachgebohrt habe und den Eindruck vermittelt habe, dass ich hier niemandem vertraue. Ich war nun einmal verunsichert! Merci fürs Verständnis. |
Zitat:
https://www.pcwelt.de/ratgeber/Bitco...s-4917667.html Zitat:
IMHO Luftblasen, die in sich zusammenfallen werden. Die Erfinder des Blockchain haben vermutlich nicht geahnt, was aus ihrem "genialen" Konzept werden würde. |
alouette, es ist ja schön, wenn du dich mit den Risiken auseinandersetzt, aber sich auf solche theoretischen Angriffe zu konzentrieren ist nicht wirklich zielführend. Grundsätzlich ist ein Bild erstmal nur ein Bild, also eine Datei nur mit Daten. Da ist kein ausführbarer Code drin. Und Bildprogramme sollen auch nur die Daten verarbeiten und als Bild darstellen aber da wird kein Code ausgeführt. Nun kann es sein, dass ein Bildbetrachter wie IrfanView eine Sicherheitslücke hat und dann eine ganz speziell präparierte Bilddatei dann beim dazu führt, dass Schadcode ausgeführt wird. Das ist aber so selten...auf die Schnelle hab ich nur dieses Beispiel gefunden - und der Artikel ist vom 24.09.2004 Abhilfe: Nicht nur das OS sondern auch ständig alle Programme aktuell halten (--> chocolatey nutzen!), natürlich alle anderen Sicherheitsregeln beachten und auf keinen Fall sich nur passiv auf den Virenscanner fokussieren! |
Zitat:
https://www.microsoft.com/en-us/wdsi...2FMS04028!jpeg Zitat:
Nach 2017 gibt es keinen einzigen Hinweis auf Trojanerbefall per jpeg |
Eben, deswegen meinte ich ja auch, dass das eher theoretische Angriffe sind. Und die laufen auch noch ins Leere, wenn rechtzeitig Sicherheitslücken durch Updates geschlossen wurden. |
Zitat:
Zitat:
Zitat:
-> https://www.trojaner-board.de/201019...ml#post1747824 Da hatten wir Dir auch schon sehr wichtige Hinweise gegeben, ich ebenfalls: -> https://www.trojaner-board.de/201019...ml#post1748691 Was davon hast Du umgesetzt? Wie aktuell hast Du Deine Software gehalten, in diesem Fall das Bildanzeigeprogramm? Welches Office- und E-Mail-Programm in welcher Version ist jetzt im Einsatz? Solche Infos wären jetzt mal wichtiger und sinngebender als Panik nach erneut unangepasstem eigenem Klickverhalten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board