PIF-Datei unter wine (allgemein auch Trojaner)?

Hallo,

habe heute eine Spammail erhalten mit einer gezippten PIF-Datei im Anhang. Diese wurde mir beim Entpacken automatisch mit wine ausgeführt. Was kann dabei passieren? Es handelte sich laut Virustotal.com offenbar um den Schädling crypted.e bzw. winlocker. Ist meine Wine-Umgebung jetzt verseucht?

Mich würde bei der Gelegenheit auch mal allgemein interessieren, wie sich speziell Trojaner unter wine ausbreiten können? Laufen diese gegenüber meinem Linux-System wirklich in einer Sandbox? Es wird ja nichts automatisch beim Anmelden ausgeführt (Autostart). Aber was ist mit anderen Windows-Programmen in der Wine-Umgebung, die einen Trojaner evtl. “befördern” könnten?

Besten Dank für die Aufmerksamkeit + viele Grüße,
Fips

Also das mit der Sandbox stimmt nur bedingt. Normalerweise haben Anwendungen
die mit Wine laufen Zugriff auf auf das ganze Dateisystem (über Z:).

Allerdings haben die Anwendungen keine Root-Rechte, dass heißt sie können
die Dateien nur lesen und sich da nicht irgendwo verstecken.

Da kannst ja unter Linux leicht nachschauen, ob irgendwelche Wine-Prozesse
laufen. Und du solltest auf alle Fälle mal einen Virenscanner drüber laufen
lassen.

Wenn du auf Nummer sicher gehen willst, lösch das ~/.wine Verzeichnis. Auch
wenn du dann die in oder andere Anwendung wieder installieren musst. In der
Regel sollten das ja nicht so viele sein.

Danke für die Antwort! Ich habe jetzt sicherheitshalber mal das .wine-Verzeichnis gelöscht und auf einem anderen System das Verzeichnis gescannt mit ClamAV. In Zukunft werde ich vorsichtiger sein mit E-Mail Attachments…

Es ist interessant zu wissen, dass man über das Z-Laufwerk lesenden Zugriff hat auf das gesamte Dateisystem (was mich nicht unbedingt beunruhigt :). Was mich noch interessieren würde: welche Voraussetzungen müssen gegeben sein, damit sich ein Trojaner in Wine einnisten kann? Die Attacke mit der PIF-Datei scheint ja z.B. fehl geschlagen zu sein? Ich könnte mir vorstellen, dass es besonders kritisch ist, wenn so ein Trojaner in Verbindung mit anderer installierter Windows-Software aktiv wird, insbesondere beim Online-Banking (hatte früher mal Star Money installiert)…

F.

Also so ein Trojaner hätte die Möglichkeit andere Windowsprogramme zu
modifizieren. Der Angriff könnte mit Wine genauso funktionieren, wie mit
Windows.

Also ich bin mir nicht so sicher, ob sich wine genauso leicht durch einen Trojaner infizieren lässt, wie ein Windows-System: immerhin gibt es meines Wissens keinen Autostart und ich weiß auch nicht, welche Windows-Systemprozesse zur Laufzeit aktiv sind? Viele Attacken dürften damit ins Leere laufen und ggf. müsste sich ein Trojaner auch relativ leicht mit Hilfe eines Virenscanners wieder entfernen lassen?

Wie gesagt, die einzige Möglichkeit die mir im Moment einfällt ist, ein
Virus, der es auf spezielle Anwendungen abgesehen hat.
Er nistet sich z.B. in der Star Money Anwendung ein (in dem die Exe-Datei
modifiziert wird) und kann dann Passwörter/Pins abhören und hat praktisch
vollen Zugriff aus das Girokonto.

Wenn der Schädling nur darauf aus ist, Daten zu sammeln und an seinen
Meister weiter zu geben, funktioniert mit Wine ebenfalls genauso wie unter
jedem Windows.

Es stimmt, so ein Virus/Trojaner kann sich nicht in den Autostart setzen und
er wird auch keine Root-Rechte auf dem Linux-System bekommen (zumindest
nicht, solange er denkt, dass es sich um einen Windows-Rechner handelt).
Aber er kann vorhandene Windows-Anwendung modifizieren, so das er mit diesen
mit gestartet wird.

Ein Virenscanner wie ClamAV kann den Virus entfernen (da dieser sich ja
nicht wirklich verstecken kann), vorausgesetzt der Virenscanner kennt den
Virus.