LNK-Dateien – Shortcuts zu schnelleren Infektionen

Diese Shortcuts werden Shell-Link Dateien genannt. Microsoft Dateinamenerweiterung: „.LNK“

Lassen Sie uns ein wenig tiefer graben und die typischen Eigenschaften einer beispielhaften LNK-Datei untersuchen. Klicken Sie dazu einfach per Rechtsklick auf den Shortcut und wählen dann „Eigenschaften“ aus. Hier gibt es nun mehrere Dinge, die geändert werden können. In diesem Fall werden wir und auf das „Ziel“-Feld konzentrieren, das den Pfad zur Anwendungen oder zum Ordner enthält.

“C:\Program Files (x86)\Avira\Avira Antivirus\avcenter.exe”

Sieht ganz einfach aus, oder? Wenn Sie auf den Shortcut klicken, führt er den hier festgelegten Befehl aus. In diesem Fall startet unser bewährtes Avira Antivirus. Das ist es auch, was Sie erwarten können und (hoffentlich) beabsichtigen, wenn Sie auf einen Shortcut klicken.

Leider haben diese Shortcut-Dateien natürlich auch immer Nachteile, weil Sie ohne es sich genau anzusehen nie genau wissen können, was sich hinter ihnen verbirgt. Bei Avira erkennen wir derzeit den Trend, dass immer mehr Malware-Bedrohungen dies als Methode zur Verbreitung nutzen. Sie können diesen und andere Trends nachverfolgen, indem Sie unsere Avira Threats Landscape besuchen.

Malware-Autoren fangen damit an, diese Methode zu verwenden, weil heutzutage die meisten neuen Nutzer wissen, dass es für ihr System gefährlich sein könnte, wenn sie auf eine verdächtige ausführbare Datei klicken. Auf einen Shortcut zu klicken wird dagegen meist nicht als gefährlich eingestuft.

Ich möchte Ihnen gerne zeigen, wie Malware die eigentlich nützlichen LNK-Dateien missbraucht. Ich zeige Ihnen dazu als Beispiel die real existierende In-the-wild Malware-Detection namens: VBS/LNK.Jenxsus.Gen

Diese Variante nutzt LNK-Dateien, um eine Infektion über Wechsellaufwerke zu verbreiten. Der Trick ist sehr einfach, da er tatsächlich Shortcuts zu Ihren Dateien und Ordnern auf dem USB-Stick schafft und die Originale dann vor Ihnen versteckt.

Werfen wir einen Blick darauf, wie eine Ordnerstruktur aussieht, sobald das USB-Laufwerk infiziert ist.

Folder View of an infected USB drive:
Ordneransicht eines infizierten USB-Sticks

Auf den ersten Blick nichts Ungewöhnliches, oder? Außer vielleicht, dass sich in der linken unteren Ecke aller Icons ein kleiner Pfeil befindet, der anzeigt, dass es sich tatsächlich um Shortcut-Dateien handelt. Sie haben aber noch Zugriff auf all Ihre Dateien und Ordner, wenn Sie darauf klicken.

Wir werden uns nun genauer ansehen, was sich tatsächlich hinter den Shortcut-Dateien befindet, indem wir dem Windows Explorer mitteilen, dass wir alle „versteckten System-Dateien“ sehen möchten.

Directory view with “Hidden System files” shown.
Ordneransicht mit den versteckten Dateien

Wenn wir das „Avira-Logo“ unter die Lupe nehmen, sehen wir, dass es da tatsächlich zwei Dateien gibt. Eine ist die LNK-Datei und die markierte ist die eigentliche „versteckte“ jpg-Bilddatei.

Das bedeutet, dass Sie, sobald Sie auf eine vertrauenswürdige Datei auf Ihrem USB-Stick klicken, eigentlich auf den Shortcut klicken, der den folgenden Befehl ausführen wird, der innerhalb des LNK-Ziels versteckt ist, anstatt einfach nur das Bild zu öffnen.

C:\WINDOWS\system32\cmd.exe /c start dlbfbiicvg.vbs&start avira-logo.jpg&exit

Ziel-Pfad einer infizierten LNK-Datei

Dieser Befehl führt heimlich den bösartigen “dlbfbiicvg.vbs” über cmd.exe aus und nutzt dann das “start avira-logo.jpg”, um die Datei zu öffnen, auf die Sie geklickt haben. So soll jeden Verdacht im Keim erstickt werden.

Zusätzlich fügt die Adware Run-Key-Einträge in die Registry ein, um andere USB-Laufwerke zu infizieren, wenn sie an das System angeschlossen sind. Das garantiert auch, dass die Malware bei jedem Systemstart ausgeführt wird.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] dlbfbiicvg”=”wscript.exe //B \”C:\\DOCUME~1\\USERNAME\\LOCALS~1\\Temp\\dlbfbiicvg.vbs\””

Beispiel eines bösartigen Run-Key, der von Malware hinzugefügt wurde.

Schließlich kann die Malware auch eine Hintertür auf Ihrem Computer bereitstellen, die dann Informationen über das Betriebssystem, Webseiten, die Sie besucht haben und so weiter, weiterschickt.

USB-Laufwerke sind immer noch sehr beliebt, weil sie Ihnen bequem die Möglichkeit bieten, große Dateien von einem Ort zu einem anderen zu transferieren – insbesondere, wenn Sie mit einer begrenzten Internet-Bandbreite arbeiten.

Wenn Sie also Dateien mit Familienmitgliedern oder Freunden teilen möchten, seien Sie lieber vorsichtig, wenn Sie Ihren USB-Stick in einen ungeschützten Computer stecken. Ihr USB-Laufwerk könnte infiziert werden und Sie könnten diese Infektion von Ihrem USB-Laufwerk auf Ihren Computer übertragen.

Natürlich hat niemand die Zeit, jeden Shortcut sorgfältig zu untersuchen, bevor er angeklickt wird.

Eine ganz einfache Lösung ist in diesem Fall die Verwendung von Avira, das automatisch nach bösartigen Inhalten sucht und Sie vor solcher Art von Malware-Bedrohungen beschützt.

Dieser Artikel ist auch verfügbar in: Englisch

Virus Analyst @Avira