Kapersky: Vorsicht mit PIF-Dateien

Der russische Anti-Viren-Software-Hersteller Kaspersky Lab hat vor einer angeblichen Schwachstelle im Betriebssystem Windows gewarnt. Programme im PIF-Format könnten sich als Portal für einen Viren-Angriff erweisen. „Nach der Einholung zahlreicher Berichte über die Vireninfektionen dieses Programmtyps“ halte das Kaspersky Lab die Übertragung eines gefährlichen Codes auf PIF-Dateien für möglich.

PIF-Dateien (Programm Information File) sind die Standarddateien für Windows, die vom Betriebssystem verwendet werden, um die Information der Start-Eigenschaften für DOS-Anwendungen zu speichern. Diese Windows-Eigenschaft verhindert, dass Benutzer bei jedem Neustart die DOS-Anwendungsbedienung neue einstellen müssen. PIF-Dateien werden im Pfad WINDOWSPIF abgelegt.

Da es anscheinend keinen Grund gab sich Sorgen zu machen, dass bösartige Programme in PIF-Dateien stecken, seien Anwender bislang wenig aufmerksam mit Dateien dieses Typs umgegangen. In PIF-Dateien verborgene Ausführmodule wie BAT-, EXE-, oder COM-Programme würden aber automatisch ausgeführt, nachdem die erhaltene Datei gestartet wird.

Als Besipiel für einen PIF-Virus nannte Kapersky „FABLE.PIF“, der nach dem Öffnen einer E-Mail eine Menge zusätzlicher Dateien installiert, seine stete Anwesenheit im System sichert und seine Kopien durch IRC-Channels und E-Mail verteilt. Fable erstelle sogar eine VBS-Datei, die sich zum Outlook E-Mail-Programm Zugang verschafft, ohne dass der Benutzer es bemerkt und Kopien des Virus an alle Empfänger aus dem Adressbuch schickt. Fable befinde sich noch nicht im Umlauf und sei bislang nur unter Laborbedingungen beobachtet worden.

„Es gibt im Moment keinen Grund zur Panik. Wir betrachten diesen Wurm eher als Beleg für eine Infektionsmethode die schon bald eine wirkliche Bedrohung darstellen kann“, sagt Kapersky-Sprecher Denis Zenkin. „Wir möchten jedoch Anwender darauf aufmerksam machen, dass die PIF-Dateien nicht unbedingt so harmlos sind wie sie erscheinen. Neben geschickt verborgenen PIF-Viren können sie andere Arten von bösartigen Daten enthalten. Wir empfehlen den Benutzern, diese Dateien nicht zu aktivieren, insbesondere wenn diese von einer nicht vertrauenswürdigen Quelle stammen“, so Zenkin weiter.