117026

Neue Variante des WMF-Exploits in Mails mit Neujahrsgruß

02.01.2006 | 09:44 Uhr |

Das neue Jahr beginnt wie das alte endete, die Ausnutzung einer Sichrheitslücke in der Behandlung von WMF-Dateien in Windows zieht weitere Kreise. Das Sicherheitsunternehmen Idefense meldet, dass diverse Websites die Schwachstelle ausnutzen, um schädlichen Programm-code einzuschleusen. Ferner berichten Idefense und F-Secure über Mails mit angeblichen Neujahrsgrüßen, die eine virulente Bilddatei enthalten.

Diese Mails kommen mit einem Betreff wie "Happy New Year" und dem Text "picture of 2006". Sie enthalten eine Bilddatei "HappyNewYear.jpg" (53.608 Bytes). Dabei handelt es sich trotz der JPG-Endung um eine Datei im WMF-Format (Windows Meta File). Sie enthält Code, der auch mit dieser Dateiendung die kürzlich bekannt gewordene WMF-Sicherheitslücke ( wir berichteten ) ausnutzt und sich von den in der letzten Woche gesichteten Exploits deutlich unterscheidet.

Wird die Datei durch eine anfällige Anwendung geöffnet, etwa durch die "Windows Bild- und Faxanzeige", wird der enthaltene Programm-Code aktiv. Dieser lädt über den Internet Explorer eine Datei aus dem Internet herunter und legt sie als "luckly[1].exe" (39.423 Bytes) im Verzeichnis "Temporary Internet Files" ab. Diese wird dann als "nerodll.exe" in das System32-Verzeichnis von Windows kopiert. Der Dateiname soll offenkundig den Eindruck erwecken, es handele sich um eine Programmdatei des CD-Brennprogramms "Nero". Diese Datei wird in der Registry verankert, damit sie bei jedem Windows-Start geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\ Installed Components\{8B75D81C-C498-4935-C5D1-43AA4DB90836}"stubpath" = C:\WINDOWS\system32\nerodll.exe s

Es handelt sich hierbei um ein Trojanisches Pferd aus der "Bifrose"-Familie. Es nimmt Kontakt mit zwei Servern auf, von denen der eine in China, der andere in den USA steht. Von dort holt es sich neue Anweisungen. Befallene PCs können so aus der Ferne überwacht und gesteuert werden.

Erkennung durch Antivirus-Programme:

Antivirus

nerodll.exe

HappyNewYear.jpg

AntiVir

BDS/Improg.2

EXP/IMG.WMF.A

Avast!

Win32:Bifrose-T [Trj]

-/-

AVG

BackDoor.Generic2.AWB (Trojan horse)

Exploit.WMF

BitDefender

GenPack:Backdoor.Bifrose.D

Exploit.Win32.WMF-PFV

ClamAV

Virtool.DllInjector.Elirt-1

Exploit.WMF.B

Command AV

W32/Bifrost.IW@bd

backdoor program

Dr Web

BackDoor.Bifrost

-/-

eSafe

-/-

-/-

eTrust-INO

Win32/Bifrost.AF!Trojan

Win32/Worfo!Trojan

eTrust-VET

-/-

Win32/Worfo

Ewido

Backdoor.Bifrose.d

Not-A-Virus.Exploit.Win32.IMGWMF.a

F-Prot

W32/Bifrost.IW@bd

backdoor program

F-Secure

Backdoor.Win32.Bifrose.kt

Exploit.Win32.IMG-WMF.a

Fortinet

suspicious

-/-

Ikarus

Backdoor.Win32.Bifrose.D

-/-

Kaspersky

Backdoor.Win32.Bifrose.kt

Exploit.Win32.IMG-WMF.a

McAfee

BackDoor-CEP trojan

Exploit-WMF trojan

Nod32

Win32/Bifrose trojan (variant)

-/-

Norman

W32/Bifrose.ALW

W32/Exploit.Gen

Panda

Suspicious file

Exploit/WMF

Sophos

Troj/Bifrose-CS

Troj/DownLdr-QB

Symantec

Backdoor.Bifrose

Backdoor.Bifrose

Trend Micro

BKDR_BIFROSE.CI

TROJ_NASCENE.H

Quelle: AV-Test ( www.av-test.de ), Stand: 02.01.06

0 Kommentare zu diesem Artikel
117026