165964

Eingeschleuste Schädlinge werden direkt ausgeführt

27.10.2008 | 16:15 Uhr |

Malware-Forscher haben eine bereits in der Praxis eingesetzte Methode aufgespürt, wie über ActiveX-Lücken eingeschleuste Malware ohne die Mithilfe der Opfer gestartet werden kann.

Bislang mussten die Verbreiter von Schädlingen ihre Opfer meist mit allerlei Tricks dazu bringen eine schädliche Datei zu öffnen. Damit Schadprogramme ohne Benutzerhilfe ausgeführt werden, müssten sie an einer Stelle im Dateisystem abgelegt werden, wo Windows sie automatisch startet, etwa im Autostart-Ordner. Malware-Forscher des Antivirusherstellers Symantec haben nun entdeckt, dass Angreifer eine neue Methode einsetzen, um eingeschleuste Malware sofort auszuführen.

Zunächst muss ein potenzielles Opfer auf eine vorbereitete Web-Seite gelockt werden. Mit Hilfe von Funktionen in ActiveX-Elementen zum Herunterladen und Überschreiben von Dateien gelangen die Schadprogrammen auf den Rechner des Opfers. Der "Microsoft Help and Support Center Viewer" kann dann dazu missbraucht werden die Datei auszuführen. Dazu wird eine HTML-Datei des Help-Centers mit einem Script überschrieben, das den eingeschleusten Schädling ausführt. Mittels Javascript leitet die geladene Web-Seite den Besucher nun auf diese lokale HTML-Datei um.

Weil das Hilfe-Center Script-Befehle im Kontext des angemeldeten Benutzers ausführen kann, können Angreifer ActiveX-Elemente ausnutzen, die nicht als "Safe for Scripting" gekennzeichnet sind, um bereits eingeschleuste Malware zu starten. Die derzeit beobachteten Angriffe setzen allerdings voraus, dass das Opfer als Administrator angemeldet ist. Da die meisten Heimanwender unter Windows XP als Benutzer mit Administratorrechten angemeldet sind, stellt dies jedoch nur eine geringe Einschränkung dar.

Die Malware-Forscher des Symantec DeepSight Threat Analysis Team haben im Security Response Blog ein Video bereit gestellt, das einen solchen Angriff demonstrieren soll.

0 Kommentare zu diesem Artikel
165964