Es ist ein Exploit für eine bisher unbekannte Lücke in Windows aufgetaucht, der über eine manipulierte WMF-Bilddatei den Rechner mit Spyware und Trojanern infiziert. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, abhängig von der Systemkonfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers.

Bei einem Test mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in den Quarantäne-Ordner, den Downloader erkannte er jedoch nicht. Zudem sperrte der Trojaner den Aufruf des Task Managers. Nach Angaben des Internet Storm Centers soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor eine Ausnahme der Datenausführungsverhinderung (Data Execution Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres funktioniert.

Da für die Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen).

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE