Neue Variante des WMF-Exploits in Mails mit Neujahrsgruß
Das neue Jahr beginnt wie das alte endete, die Ausnutzung einer Sichrheitslücke in der Behandlung von WMF-Dateien in Windows zieht weitere Kreise. Das Sicherheitsunternehmen Idefense meldet, dass diverse Websites die Schwachstelle ausnutzen, um schädlichen Programm-code einzuschleusen. Ferner berichten Idefense und F-Secure über Mails mit angeblichen Neujahrsgrüßen, die eine virulente Bilddatei enthalten.
Diese Mails kommen mit einem Betreff wie "Happy New Year" und dem Text "picture of 2006". Sie enthalten eine Bilddatei "HappyNewYear.jpg" (53.608 Bytes). Dabei handelt es sich trotz der JPG-Endung um eine Datei im WMF-Format (Windows Meta File). Sie enthält Code, der auch mit dieser Dateiendung die kürzlich bekannt gewordene WMF-Sicherheitslücke (wir berichteten) ausnutzt und sich von den in der letzten Woche gesichteten Exploits deutlich unterscheidet.
Wird die Datei durch eine anfällige Anwendung geöffnet, etwa durch die "Windows Bild- und Faxanzeige", wird der enthaltene Programm-Code aktiv. Dieser lädt über den Internet Explorer eine Datei aus dem Internet herunter und legt sie als "luckly[1].exe" (39.423 Bytes) im Verzeichnis "Temporary Internet Files" ab. Diese wird dann als "nerodll.exe" in das System32-Verzeichnis von Windows kopiert. Der Dateiname soll offenkundig den Eindruck erwecken, es handele sich um eine Programmdatei des CD-Brennprogramms "Nero". Diese Datei wird in der Registry verankert, damit sie bei jedem Windows-Start geladen wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\ Installed Components\{8B75D81C-C498-4935-C5D1-43AA4DB90836}"stubpath" = C:\WINDOWS\system32\nerodll.exe s
Es handelt sich hierbei um ein Trojanisches Pferd aus der "Bifrose"-Familie. Es nimmt Kontakt mit zwei Servern auf, von denen der eine in China, der andere in den USA steht. Von dort holt es sich neue Anweisungen. Befallene PCs können so aus der Ferne überwacht und gesteuert werden.
Erkennung durch Antivirus-Programme:
| Antivirus | nerodll.exe | HappyNewYear.jpg |
|---|---|---|
| AntiVir | BDS/Improg.2 | EXP/IMG.WMF.A |
| Avast! | Win32:Bifrose-T [Trj] | -/- |
| AVG | BackDoor.Generic2.AWB (Trojan horse) | Exploit.WMF |
| BitDefender | GenPack:Backdoor.Bifrose.D | Exploit.Win32.WMF-PFV |
| ClamAV | Virtool.DllInjector.Elirt-1 | Exploit.WMF.B |
| Command AV | W32/Bifrost.IW@bd | backdoor program |
| Dr Web | BackDoor.Bifrost | -/- |
| eSafe | -/- | -/- |
| eTrust-INO | Win32/Bifrost.AF!Trojan | Win32/Worfo!Trojan |
| eTrust-VET | -/- | Win32/Worfo |
| Ewido | Backdoor.Bifrose.d | Not-A-Virus.Exploit.Win32.IMGWMF.a |
| F-Prot | W32/Bifrost.IW@bd | backdoor program |
| F-Secure | Backdoor.Win32.Bifrose.kt | Exploit.Win32.IMG-WMF.a |
| Fortinet | suspicious | -/- |
| Ikarus | Backdoor.Win32.Bifrose.D | -/- |
| Kaspersky | Backdoor.Win32.Bifrose.kt | Exploit.Win32.IMG-WMF.a |
| McAfee | BackDoor-CEP trojan | Exploit-WMF trojan |
| Nod32 | Win32/Bifrose trojan (variant) | -/- |
| Norman | W32/Bifrose.ALW | W32/Exploit.Gen |
| Panda | Suspicious file | Exploit/WMF |
| Sophos | Troj/Bifrose-CS | Troj/DownLdr-QB |
| Symantec | Backdoor.Bifrose | Backdoor.Bifrose |
| Trend Micro | BKDR_BIFROSE.CI | TROJ_NASCENE.H |
Quelle: AV-Test (www.av-test.de), Stand: 02.01.06
