Dateien/Fotos etc "reinigen"

Können Dateien wie .jpg, .png, .txt, .php auch Viren/Malware enthalten? Wenn ja, wie können diese bereinigt werden?

Malware würde ich als das Auslösen ungewünschter Funktionen auf dem IT-System eines Dritten bezeichnen. Grundsätzlich können Dateien bei der Verarbeitung durch entsprechende Schwachstellen in einem IT-System solche ungewünschten Funktionen auslösen.

Aus diesem Blickwinkel können grundsätzlich auch die von Dir genannten Dateitypen Schadfunktionen auslösen, wenn Dein System diese Dateitypen verarbeitest.

Wie kann man dieses bereinigen?

Durch das konsequente Einspielen von Sicherheitsupdates zum Schließen von bekannt gewordenen Schwachstellen in der von Dir genutzten Software und die Deinstallation von nicht mehr gepflegter Software. Dieses verhindert ursächlich die Ausführung der Malware.

Eine Bereinigung der Dateien würde als erstes eine Identifikation voraussetzen. Hier sehe ich erst einmal das größte Problem. Sollte man tatsächlich eine Datei identifiziert haben müsste es noch eine Anleitung oder ein Tool mit dem man die gewünschten Dateinhalte von den Schadinhalten trennt geben. Vermutlich jedoch wird man einfach die Dateien löschen.

Siehe z.B. https://umbrella.cisco.com/blog/picture-perfect-how-jpg-exif-data-hides-malware oder https://www.adobe.com/de/acrobat/resources/can-pdfs-contain-viruses.html sowie https://german.opswat.com/blog/05-signs-of-malicious-behavior-and-embedded-threats-in-pdfs

Dass PDF Viren enthalten können, war mir bewusst. PDFs kann man ja mit linearize “reinigen” bzw. neu erstellen. Das Problem ist, dass ich viele Fotos, Tabellen, Textdokumente, php-Dateien usw. habe, die auf einer evtl. infizierten externen Platte sind. Ich benötige die Dateien aber, und die Kopien sind ggf. durch die Synchronisation auch infiziert - daher muss ich sie irgendwie reinigen können…

Wenn Du nur einen allgemeinen Verdacht zur einer möglichen Infizierung von unbekannten Dateien Deines Datenträger mit unbekannten Malware-Varianten hast und einfach die Wahrscheinlichkeit für Dich verringern möchtest um ein besseres Gefühl zu haben, dann vermutlich die folgende Vorgehensweise sinnvoll sein.

1. Einsatz einer universellen Malware-Erkennungs-Software um die Dateien Deiner Festplatte auf Infektionen mit bereits bekannter Malware zu untersuchen. Je nach Arbeitsumgebung / Datenträgerformat müsstest Du schauen, welche Software Dir hier zur Verfügung steht. Die c’t Desinfect Boot-CD könnte hier vielleicht helfen. https://www.heise.de/download/product/desinfect-71642

2. Wenn der entsprechende Scan dann Malware-Infektionen erkannt hat, dann kann diese

• eventuell bereits automatisiert durch den Scanner bereinigt werden
• Hinweise auf die Malware für Recherchen im Internet nach Berinigungsmöglichkeiten geben
• Im Zweifel die Möglichkeit zur gezielten Löschung der Datei geben.

Bei unbekannter / individueller Malware werden Scanner jedoch typischerweise keinen Erfolg bei der Detektion haben. Hier würde es dann sehr aufwendig werden, strukturiert nach Manipulationen durch eine Malware zu suchen. Dieses wäre dann eine forensische Untersuchung die viel Wissen und Erfahrung benötigt und wenn man sie beauftragen muss sehr teuer ist.

Ein weitere Ansatz könnte es sein, eventuelle vorhandene ältere Backup-Daten die vermutlicherweise nicht überschrieben wurden, für einen Vergleich zum Ausschließen von größeren Mengen an Dateien heranzuziehen um die Aufwände zu minimieren. Auf die Idee bist Du vermutlich jedoch auch schon gekommen, da Du von

sprichst.

Mal schauen was andere ggf. noch an Ideen haben. Ich drücke Dir die Daumen.

Du vermutest, dass eine externe Platte infiziert ist? Was bedeutet das, dass du, wie von dir angesprochen, Dateien hast, die Malware enthalten können? Hast du eine Vorstellung, wo du die herhaben könntest? Oder befürchtest du, dass Daten durch Malware auf deinen Computer in infizierte Dateien umgewandelt worden und dann durch Synchronisation auf deine externe Platte kopiert worden sind?

Ich habe ein Programm genutzt, dass infiziert wurde und nun ggf. die Dateien auf den Festplatten infiziert wurden.

Welches OS? Welche Malware genau? Wurde die Malware ausgeführt oder vorher gestoppt?

Windows. Es wurde ein Trojaner gefunden, wobei es evtl. ein false positive ist. Ich werde kommende Woche einen Experten aufsuchen. Aber eine kurze Frage: wenn ich das kompromittierte System mit einer Live-Linux starte und von da aus bspw. die PDFs mit qpdf linearize neu erstelle, sind diese dann clean und könnten transferiert werden?

In den geschilderten Beiträgen klingt es eher nach einem allgemeinen Verdacht als nach konkreten Hinweisen auf eine gezielte Dateimanipulation. Selbst wenn ein unter Windows gefundener Trojaner echt ist, „infiziert” er normalerweise keine beliebigen PDFs, Bilder oder sonstige Dokumente auf allen Datenträgern. Solche Formate können zwar grundsätzlich Schadcode enthalten, jedoch nicht im Sinne einer klassischen Dateiinfektion, wie sie bei EXE- oder DLL-Dateien auftritt. Infizierte Bilder werden auch nur dann gefährlich, wenn sie gezielt manipuliert wurden, um eine Schwachstelle im jeweiligen Anzeigeprogramm auszunutzen. Das ist technisch möglich und kam in der Vergangenheit vor, setzt aber eine passende Sicherheitslücke und meist auch eine gezielte Ausnutzung voraus. Eine wahllose Umwandlung vorhandener Dokumente in verseuchte Dateien durch einen Standard-Trojaner ist dagegen untypisch.

Wenn du einzelne Dateien prüfen möchtest, kannst du sie stichprobenartig bei VirusTotal hochladen und von mehreren Engines analysieren lassen. Beachte dabei aber, dass die Inhalte online analysiert werden und die Dateien daher nicht kritisch oder sensibel sein sollten. Das Starten eines Live-Linux zur Sichtung oder zum Neuexport von Dokumenten ist ebenfalls ein sinnvoller Ansatz, um Risiken weiter zu minimieren. Realistischer als infizierte PDFs oder Bilder sind jedoch kompromittierte Zugangsdaten, nachgeladene Schadsoftware oder ein dauerhaft manipuliertes Windows-System. Wenn sich der Verdacht auf tatsächlich ausgeführte Malware bestätigt und nicht auf einem möglichen False Positive beruht, ist eine saubere Neuinstallation mit anschließender Rücksicherung geprüfter Daten in der Regel die einzig wirklich vertrauenswürdige Lösung.

Ich würde so vorgehen:

• Live Linux-ISO-DVD/USB-Stick auf einem anderen, sicheren Gerät erstellen
• Infiziertes Gerät davon Booten
• Spiegelung des kompletten Speichers auf externe Festplatte, falls später eine forensische Analyse notwendig werden sollte
• Backup der reinen Nutzerdaten auf eine andere Festplatte, ohne jegliche ausführbare Dateien

Danach:

• Windows Installer USB-Stick auf sicherem Gerät erstellen
• Davon am infizierten Gerät booten
• Windows komplett neu installieren
• Admin-Nutzer und nicht-privilegierter Alltags-Nutzer separat erstellen
• Programme installieren, updaten
• OS härten, insbesondere Application Control (z.B. via Applocker) einsetzen
• Office, PDF-Viewer usw. härten, insbesondere Ausführung von Macros unterbinden
• HDD mit Nutzerdaten-Backup anschließen
• Malware-Scan über Nutzerdaten-Backup
• Nutzerdaten aus Backup zurückspielen

Ihr denkt also, dass ein Virus/Trojaner o.ä. wahrscheinlich eher nicht Dateien verseucht und diese somit von Linux aus gefahrenlos auf eine neue sichere Platte kopiert werden können? Auch Excel/ODT/Word-Dateien bspw?

Ja, es ist zwar nicht absolut ausgeschlossen, da es technisch möglich ist, aber andere Szenarien sind viel wahrscheinlicher. Typischer sind eine Systemkompromittierung, das Nachladen weiterer Schadsoftware oder der Diebstahl von Zugangsdaten.

Office-Dokumente können zwar VBA-Makros enthalten und PDF-Dokumente JavaScript-Code, die ein System kompromittieren können. Auch Bilddateien können versteckten Code enthalten, der über ein verwundbares Bildbetrachtungsprogramm das System angreift. Bei all diesen Szenarien sind diese Dokumente jedoch eher der Ausgangspunkt der Infektion und nicht das Resultat einer erfolgreichen Systemkompromittierung.

Um auf deine Frage im OP zurückzukommen, solltest du die Nutzdaten aber in jedem Fall wenigstens einmal einem vertrauenswürdigen Virenscanner zuführen. Ein oder mehrere Virenscanner auf einem Live-System bieten sich da an. Um ganz sicher zu gehen, kannst du das nach ein oder zwei Wochen wiederholen, um auch bislang unerkannte Schadsoftware zu finden (Stichwort: Zero-Day). Eine Neuinstallation des betroffenen Systems sowie die Rücksicherung nur geprüfter Daten versteht sich dabei von selbst.

Also erstmal vielen, vielen Dank an Euch für all Eure Tipps und Hinweise! Toll, dass man hier soviel Unterstützung erhält

Nochmal eine Frage zu externen Speichermedien wie SSD, HDD oder USB-Sticks, die ausschließlich Dateien enthalten (also kein OS oder ähnliches): wie können diese denn infiziert sein? Klar, wenn wiegesagt infizierte Dateien darauf sind oder ein schädliches Skript - gäbe es sonst noch eine andere Möglichkeit? Da die Backups ja dann ggf. auch infiziert sein können.

Theoretisch könnte ein erfolgreicher Angriff auf ein IT-System mit der Möglichkeit eigene Aktionen im System auszuführen dazu genutzt werden, dass im Anschluss die gesamten von dem System erreichbaren Dateisysteme nach geeigneten Dateien durchsucht und infiziert werden, um eine weitere Verbreitung / oder eine erneute Infektion zu nach einer Bereinigung wahrscheinlicher zu machen.

Ob diese Vorgehensweise bei normalerweise normalen Dateien heute wahrscheinlich ist kann ich jedoch nicht sagen. Ich vermute jedoch eher, dass heutzutage über das Netzwerk-laufende Angriffe / Infektionen normal sind und weniger Dateibasierende Schadfunktionen.

Selbstverständlich ist es grundsätzlich möglich, dass bösartige Software jedes JPG oder Pdf oder anderes mit Schadcode verseucht und der Hoffnungs, dass diese Dateien weiter verbreitet und genutzt werden.

Vor 20 Jahren schon: https://www.golem.de/0409/33828.html

Neuer: https://www.heise.de/news/SyncCrypt-Neue-Ransomware-lauert-in-JPG-Dateien-3808437.html

Wie hier schon geschrieben, sind diese Dateien aber letztlich Zwei-Komponenten-Gift, das erst seine Wirkung entfaltet in Software mit Sichrheitslücken (Betriebssystem oder Anwendung).

Letztere Lücken gibt es aber zuhauf.

Auch in den beiden verlinkten Fällen wurde die Bilddatei nicht im Sinne einer nachträglichen Manipulation bestehender, harmloser Fotos „infiziert”. Vielmehr dient hier eine infizierte Bilddatei als Transport- bzw. Tarnvehikel für die eigentliche Schadsoftware. Das ist ein Unterschied. Eine Bilddatei mit Virus ist nicht dasselbe wie ein Virus, der eine Bilddatei infiziert. Ersteres kommt durchaus vor, Letzteres habe ich noch nicht gehört.

Ja, das passt zu den beiden verlinkten Fällen. Wie schon erwähnt, sind das allerdings sehr spezielle Fälle. Im hier diskutierten Kontext spricht daher wenig dafür, dass vorhandene Bilder oder Dokumente nachträglich massenhaft in Schadsoftware umgewandelt wurden.

Das ist aber ein maximal schwaches Argument.

Hier geht es um einen Virenbefall und die suchen sich nun mal clever Verbreitungswege.

Eine Ansteckung anderer Dateien ist extrem einfach umzusetzen in dem Szenario, wo der Virus schon aktiv ist.

Wie in der Biologie ist der einzig entscheidende Faktor der, ob das Objekt infiziert werden kann und andere Sachen anstecken kann. Beides ist klar mit ja zu beantworten.

Und dieser Verbreitungsweg bietet den Vorteil, dass eine Infektion auch ziemlich sicher Signaturbasierter Erkennung entgehen wird.

Das entscheidende an beiden möglichen Fällen ist das Windows genutzt werden muss, was man nach heutigem Stand nicht notwendig oder zu empfehlen ist.

Auch das ist eher anekdotenhaft und bedeutungslos.

Nur weil in den zwei willkürlich ausgewählten Beispielfällen die Sicherheitslücken in Windows lagen, heisst es Null, dass im persönlichen Fall die Sicherheitslücke nicht auch in ios, android, linux oder macos vorliegt.

Die sind ausnahmslos angreifbar.