WMF-Bilder infizieren Windows-PCs
Windows-Anwendern steht neuer Ärger ins Haus... Eine bisher noch unbekannte Lücke in Windows hat einen Exploit zum Vorschein gebracht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert.
Diese Kumpels bringt er mit:
Trojan-Downloader.Win32.Agent.abs
Trojan-Dropper.Win32.Small.zp
Trojan.Win32.Small.ga
Trojan.Win32.Small.ev.
Eine Seite im Netz ist bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schaufeln. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen ohne dies zu wünschen in der Windows Bild- und Faxanzeige an. Dabei gelingt es dieem Exploit wohl auch Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Ist der Anwender auch Admin, so hat der böse Bube leichtes Spiel...
Dann geht die Troja-Party weiter, er lädt der Schadcode in Form von mehreren DLLs nach und verbiegt die Startseite des Internet Explorers. Dem noch nicht genug beginnt er nun PopUps zu öffnen mit Angeboten für Software, die den eben installieren Trojaner natürlich wieder entfernen soll, eine beliebte "Erpresser-Masche".
Bei einem Test der heise-Security-Redaktion, der Quelle, mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in die Quarantäne, den eigentlichen Downloader erkannte er jedoch nicht.
Zudem sperrte der Trojaner den Aufruf des Task Managers, eine unschöne Sache, denn der Prozess könnte nun nicht beendet werden. Bei der Analyse des manipulierten WMF-Bildes mit Virustotal fand nur der Scanner von Symantec einen Trojan-Downloader. Nach Angaben des Internet Storm Centers soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor eine Ausnahme der Datenausführungsverhinderung (Data Execution Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres funktioniert.
Da für diese neue Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen). Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch, aber auch Nutzer alternativer Browser sind potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen.
Siehe auch:
Blogeintrag von F-Secure: http://www.f-secure.com/weblog/archive…5.html#00000752
Meldung des Internet Storm Center: http://isc.sans.org/diary.php?storyid=972
Also, aufpassen ist angesagt!!!
Ach ja, mein McAfee hat seltsamerweise schon gestern reagiert: http://vil.mcafeesecurity.com/vil/content/v_137760.htm
Dennoch ist die Meldung des Exploit erst von heute...
Quelle: http://www.heise.de