23.04.2014, 23:08 UhrDeutsch | English
Hallo Gast [ Registrierung | Anmelden ]

Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen Druckerfreundliche Version Einloggen, um private Nachrichten zu lesen Nächstes Thema anzeigen
Autor Nachricht
thebluesman
Titel: .doc Frage  BeitragVerfasst am: 23.11.2010, 21:54 Uhr



Anmeldung: 06. Okt 2007
Beiträge: 353
Wohnort: Leipzig
Hallo Gemeinde,

ich weiß, daß dies hier kein Win-Forum ist, aber mir schwirrt da doch was im Schädel rum.

Bezugnehmend auf diesen Thread:

http://kanotix.com/PNphpBB2-viewtopic-t-26486.html

hab ich mir die Festplatte mit nach hause genommen und ein Datenrettungsprogramm (recuva) drüberlaufen lassen.
Im ersten Durchlauf sollten nur Dateien, die Texte beinhalten wiederhergestellt werden (.doc, .odt, .xls usw).
Dies geschah auch brav und ich speicherte diese Dateien in einem Extraordner ab.
Dann lies ich einen zweiten Durchlauf machen (alle wiederherstellbaren Dateien) und speicherte die in einem anderen Ordner ab.

Heut nahm ich die FP wieder mit auf Arbeit, installierte Excalibur und präsentierte den Verantwortlichen das Ergebnis.
Ich öffnete die Ordner mit den wiederhergestellten Dateien und meinte, daß die Jugendlichen jetzt ihre Lebensläufe und Bewerbungsschreiben weiter bearbeiten könnten.
Plötzlich entdeckte ich im ersten Ordner(!) eine Datei namens "winword.doc", die allerdings nicht das typisch OOo-icon aufwies, sondern das Zahnradsymbol für eine .exe! Wenn man mit dem Mauszeiger drüberging wurde auch angezeigt, daß es ein Win-Programm sei, keine reine Textdatei.
Ich öffnete es mit OOo und es erschien viel unleserliches, aber auch leserlichen, wie: "dieses Programm läuft nicht im DOS-Modus" und Begriffe wie "Kernel32.dll" und andere Bezeichnungen von Win-Systemdateien.
Ih öffnete es auch mal mit kwrite und da kam die Meldung, daß die Datei binär wäre und das Speichern zu Fehlern führen würde.

Was nun mein Problem ist:
Da der konkrete Verdacht besteht, daß das System mutwillig (per Schadsoftware) kaputtgemacht wurde...
Ist es möglich eine Schad-SW hinter einem simplen und unverdächtigen Dateinamen zu verstecken, so daß Win das nicht merkt, aber unter Linux der Unterschied der Dateien angezeigt wird?

Oder bin ich bloß paranoid?

Vielen Dank schonmal.
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
jonOfTre
Titel: .doc Frage  BeitragVerfasst am: 23.11.2010, 22:54 Uhr



Anmeldung: 14. Apr 2005
Beiträge: 86

Hallo,

unter Windows wird standardmäßig die Dateiendung nicht angezeigt. Man muss dazu im Explorer die richtigen Häkchen setzen - sofern sich jemand dafür überhaupt interessiert. Um damit die Frage zu beantworten: Ja, das geht und wenn man nicht aufmerksam ist, fällt man darauf rein.

Wenn der Verdacht besteht, dass diese exe ein Schädling, Virus, o.ä. ist: Rescue-CDs mit Antiviren-Programmen können auch Linux-Dateisysteme untersuchen, sofern von diesen CDs gebootet wird. Das geht dann, wenn das verwendete System zum Booten eben Linux ist. Hab' ich mal zum Überprüfen verwendet und tatsächlich Funde bekommen, folgenlose.

Gruß,
JonOfTre

_________________
Dragonfire 64bit mit Kernel 3.8.0rc6 auf i7-3770/P8Z77-VLX
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
schwedenmann
Titel: doc  BeitragVerfasst am: 24.11.2010, 07:34 Uhr



Anmeldung: 22. Jun 2004
Beiträge: 435
Wohnort: Wegberg
Hallo

Zitat:
st es möglich eine Schad-SW hinter einem simplen und unverdächtigen Dateinamen zu verstecken, so daß Win das nicht merkt,


Win erkennt Dateien an deer Endung. Wenn du also eine ausführbare Datei als test.doc speicherst erkennt win dies als word-datei und vesucht sie zu öffnen und schon kann man infiziert sein.
Ein deinem Fall kann es aber auch sein, das dies einfach eine ausführbare Datei (aber keine Schadsoftware ist) ist, die beim Reparieren und mit der SW als doc Datei abgespeichert wurde

mfg
schwedenmann

_________________
Linux,DOS,Windows
The Good, the bad, the ugly
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
Beiträge vom vorherigen Thema anzeigen:     
Gehe zu:  
Alle Zeiten sind GMT + 1 Stunde
Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen Druckerfreundliche Version Einloggen, um private Nachrichten zu lesen Nächstes Thema anzeigen
PNphpBB2 © 2003-2007 
 
Deutsch | English
Logos and trademarks are the property of their respective owners, comments are property of their posters, the rest is © 2004 - 2006 by Jörg Schirottke (Kano).
Consult Impressum and Legal Terms for details. Kanotix is Free Software released under the GNU/GPL license.
This CMS is powered by PostNuke, all themes used at this site are released under the GNU/GPL license. designed and hosted by w3you. Our web server is running on Kanotix64-2006.