117652

WMF-Exploit leicht gemacht

04.01.2006 | 15:24 Uhr |

Das Programm WMFMaker ermöglicht die Erstellung von WMF-Dateien mit beliebigen Schadensroutinen.

Verschiedene Sicherheitsunternehmen melden eine weiterhin zunehmenden Zahl von Angriffen mit präparierten WMF-Dateien. Vorwiegend werden Websites durch die Einbettung solcher Bilddateien für Angriffe auf die Ende 2005 bekannt gewordene WMF-Sicherheitslücke ( wir berichteten ) genutzt. Immer neue WMF-Dateien tauchen auf. Jetzt melden mehrere Antivirus-Firmen die Entdeckung eines Programms, das die Erstellung schädlicher WMF-Dateien wesentlich vereinfacht.

Das als "WMFMaker" bezeichnete Tool ist ein schlichtes Kommandozeilenprogramm. Es übernimmt eine im Befehlsaufruf übergebene Schadensroutine und erzeugt eine WMF-Datei mit dem Exploit-Code. Dieser basiert nach Angaben von F-Secure auf der ersten, in der letzten Woche veröffentlichten Methode zur Ausnutzung der Sicherheitslücke in Windows. Die Virenforscher von F-Secure schreiben in ihrem Weblog , die so erzeugten Dateien seien zum Teil "buggy", funktionierten also nicht richtig.

Panda Software gibt an, das Programm erzeuge WMF-Dateien mit dem Namen "evil.wmf" oder dem Dateinamen des integrierten Schädlings. Nach der Beschreibung von Panda ist WMFMaker in C++ geschrieben und etwa 52 KB groß.

McAfee hingegen gibt in seiner sehr knappen Beschreibung eine Größe von mehr als 480 KB an und verkündet, dass die mit WMFMaker erzeugten Dateien von McAfee Virusscan erkannt würden. Dies dürfte allerdings inzwischen auch auf andere Antivirus-Programme zutreffen.

0 Kommentare zu diesem Artikel
117652