WMF-Bilder infizieren Windows-PCs

    Windows-Anwendern steht neues Ungemach ins Haus: Für eine bislang unbekannte Lücke in Windows ist ein Exploit aufgetaucht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert. Eine erste Seite ist auch bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schieben. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers. Zudem öffnet er Pop-ups mit Angeboten für Software, die den eben installieren Trojaner wieder entfernen soll.
    Anzeige

    Bei einem Test der heise-Security-Redaktion mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in die Quarantäne, den eigentlichen Downloader erkannte er jedoch nicht. Zudem sperrte der Trojaner den Aufruf des Task Managers. Bei der Analyse des manipulierten WMF-Bildes mit Virustotal fand nur der Scanner von Symantec einen Trojan-Downloader. Nach Angaben des Internet Storm Centers soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor eine Ausnahme der Datenausführungsverhinderung (Data Execution Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres funktioniert.

    Da für die Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen). Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch, aber auch Nutzer alternativer Browser sind potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen.

    Siehe dazu auch:

    * New WMF 0-day exploit Blogeintrag von F-Secure
    http://www.f-secure.com/weblog/archive…5.html#00000752
    * Windows WMF 0-day exploit in the wild Meldung des Internet Storm Center
    http://isc.sans.org/diary.php?storyid=972

    (dab/c't)

    Quelle:
    http://www.heisec.de

    signatur_ryder.jpg

    Zitat

    Originally posted by Tristar^Jack Sparrow
    Jo Herr Ryder

    Windows präsentiert sich mal wieder in seinem
    Löchrigen Gewand.Es zieht und pfeift durch alle
    Ritzen.:wrd:


    Gr33ts

    @Jacki:agl:

    ^^sehr schön gesagt!

    signatur_tie-fighter.jpg
        
    "Ich bin unschuldig, ich bin Amerikaner"

    Zitat:

    Baphomet's Fluch 1

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden