WinRAR – Extension Spoofing

In der WinRAR Version 4.20 wurde nun ein Bug öffentlich, der so manchen „Doppel-klickern“ das Leben schwer macht. Er zeigt mal wieder das nicht alles einfach so bedenkenlos geöffnet werden sollte. Denn durch Extension Spoofing ist es möglich, die Datei-Endung im WinRar Vorschau Fenster, nach z.B. einer Bilddatei aussehen zu lassen. Dahinter verbirgt sich aber eigentlich eine ausführbare .exe Datei.

Beispiel

Ich möchte Ihnen das an einem harmlosen Beispiel zeigen. Die eigentliche .exe-Anwendung gibt eine einfache Messagebox mit dem Inhalt „Hallo Welt“ aus.

Erstaunlich ist, wie einfach das ganze funtkioniert. Das zip-Archiv muss einfach in einem Hex-Editor geöffnet werden und dann kann die genannte Datei umbenannt werden, samt Endung.

In der Praxis sieht das ganze dann so aus:

Unbenannt

Täuschend echt. Das passende Icon wird eingeblendet, bei Typ steht „JPG-Datei“ und die Endung sagt uns das es sich um ein Bild handeln muss. Doch wenn wir ein Doppelklick daraus ausführen merken wir schnell, dass es sich um eine ausführbare Datei handelt:

Unbenannt

Wenn das ganze entpackt wird, lösst sich der Zauber auch in Luft auf:

Unbenannt2

Die Lösung

In der aktuellen Version von Winrar ist das Problem behoben. Ansonsten ist dass aber mal wieder ein perfekter Beweis dafür, dass nicht alles angeklickt werden sollte ohne einen ausreichenden Blick darauf geworfen zu haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.