kanotix.com :: Thema anzeigen

kanotix.com

Sonstiges - .doc Frage

thebluesman - 23.11.2010, 21:54 Uhr
Titel: .doc Frage

Hallo Gemeinde,

ich weiß, daß dies hier kein Win-Forum ist, aber mir schwirrt da doch was im Schädel rum.

Bezugnehmend auf diesen Thread:

http://kanotix.com/PNphpBB2-viewtopic-t-26486.html

hab ich mir die Festplatte mit nach hause genommen und ein Datenrettungsprogramm (recuva) drüberlaufen lassen.
Im ersten Durchlauf sollten nur Dateien, die Texte beinhalten wiederhergestellt werden (.doc, .odt, .xls usw).
Dies geschah auch brav und ich speicherte diese Dateien in einem Extraordner ab.
Dann lies ich einen zweiten Durchlauf machen (alle wiederherstellbaren Dateien) und speicherte die in einem anderen Ordner ab.

Heut nahm ich die FP wieder mit auf Arbeit, installierte Excalibur und präsentierte den Verantwortlichen das Ergebnis.
Ich öffnete die Ordner mit den wiederhergestellten Dateien und meinte, daß die Jugendlichen jetzt ihre Lebensläufe und Bewerbungsschreiben weiter bearbeiten könnten.
Plötzlich entdeckte ich im ersten Ordner(!) eine Datei namens "winword.doc", die allerdings nicht das typisch OOo-icon aufwies, sondern das Zahnradsymbol für eine .exe! Wenn man mit dem Mauszeiger drüberging wurde auch angezeigt, daß es ein Win-Programm sei, keine reine Textdatei.
Ich öffnete es mit OOo und es erschien viel unleserliches, aber auch leserlichen, wie: "dieses Programm läuft nicht im DOS-Modus" und Begriffe wie "Kernel32.dll" und andere Bezeichnungen von Win-Systemdateien.
Ih öffnete es auch mal mit kwrite und da kam die Meldung, daß die Datei binär wäre und das Speichern zu Fehlern führen würde.

Was nun mein Problem ist:
Da der konkrete Verdacht besteht, daß das System mutwillig (per Schadsoftware) kaputtgemacht wurde...
Ist es möglich eine Schad-SW hinter einem simplen und unverdächtigen Dateinamen zu verstecken, so daß Win das nicht merkt, aber unter Linux der Unterschied der Dateien angezeigt wird?

Oder bin ich bloß paranoid?

Vielen Dank schonmal.

jonOfTre - 23.11.2010, 22:54 Uhr
Titel: .doc Frage

Hallo,

unter Windows wird standardmäßig die Dateiendung nicht angezeigt. Man muss dazu im Explorer die richtigen Häkchen setzen - sofern sich jemand dafür überhaupt interessiert. Um damit die Frage zu beantworten: Ja, das geht und wenn man nicht aufmerksam ist, fällt man darauf rein.

Wenn der Verdacht besteht, dass diese exe ein Schädling, Virus, o.ä. ist: Rescue-CDs mit Antiviren-Programmen können auch Linux-Dateisysteme untersuchen, sofern von diesen CDs gebootet wird. Das geht dann, wenn das verwendete System zum Booten eben Linux ist. Hab' ich mal zum Überprüfen verwendet und tatsächlich Funde bekommen, folgenlose.

Gruß,
JonOfTre

schwedenmann - 24.11.2010, 07:34 Uhr
Titel: doc

Hallo

Zitat:

st es möglich eine Schad-SW hinter einem simplen und unverdächtigen Dateinamen zu verstecken, so daß Win das nicht merkt,

Win erkennt Dateien an deer Endung. Wenn du also eine ausführbare Datei als test.doc speicherst erkennt win dies als word-datei und vesucht sie zu öffnen und schon kann man infiziert sein.
Ein deinem Fall kann es aber auch sein, das dies einfach eine ausführbare Datei (aber keine Schadsoftware ist) ist, die beim Reparieren und mit der SW als doc Datei abgespeichert wurde

mfg
schwedenmann