Werbebanner mit WMF-Exploit

Um sich über den kürzlich bekannt gewordenen WMF-Exploit (wir berichteten) ein Trojanisches Pferd einzuhandeln, müssen sich Internet-Nutzer nicht erst in den dunklen Ecken des Netzes herum treiben oder auf Links in dubiosen Mails klicken. Bereits die übliche Banner-Rotation auf werbefinanzierten Websites kann eine präparierte Bilddatei enthalten, die eine Infektion verursachen kann.

Dabei sind nicht nur Bilddateien mit der Endung WMF gefährlich. Die von der Sicherheitslücke betroffene und unter anderem von Internet Explorer zum Anzeigen aufgerufene Programmbibliothek "shimgvw.dll" erkennt und behandelt WMF-Dateien auch als solche, wenn beliebige andere Endungen wie zum Beispiel JPG, GIF, BMP, TIF oder PNG verwendet werden.

Entgehen den zunächst anders lautenden Berichten sind nicht nur Windows XP und Server 2003 betroffen, praktisch alle Windows-Versionen können anfällige Komponenten enthalten. Microsoft empfiehlt in einer Sicherheitsempfehlung (wir berichteten) die Deregistrierung der Programmbibliothek "shimgvw.dll", die zur "Windows Bild- und Faxanzeige" gehört.

Eine andere Gefahrenquelle können Desktop-Suchmaschinen wie "Google Desktop" und andere sein. Sie durchsuchen die Festplatte nach Dateien und wenn sie auf WMF-Dateien stoßen, werden sie geöffnet, um sie in den Index aufzunehmen. Bereits bei diesem Vorgang kann die Sicherheitslücke zuschlagen und schädlicher Code ausgeführt werden, wenn es sich um eine entsprechend präparierte Datei handelt.

Die mit dem Service Pack 2 von Windows XP eingeführte "Data Execution Prevention" stellt nach Untersuchungen von Sunbelt Software nur dann einen Schutz von diesem Exploit dar, wenn sie von Hardware unterstützt wird. Das bedeutet, es muss ein Prozessor (CPU) im Rechner stecken, der diese Technik zur Verfügung stellt, zum Beispiel AMD64-CPUs.

Das Testlabor AV-Test hat bis zum 30. Dezember insgesamt 73 verschiedene WMF-Dateien gesammelt, die den Exploit-Code enthalten und an sie den Antivirus-Herstellern zur Verfügung gestellt. Ein wiederholter Testlauf mit diversen Virenscannern am 31. Dezember zeigt, dass die Produkte folgender Hersteller alle 73 Dateien erkennen:

Alwil (Avast), Authentium (Command AV), Clam AV, Computer Associates (Etrust), Dr Web, Eset (Nod32), F-Secure, Fortinet, H+BEDV (AntiVir), Kaspersky, McAfee, Norman, Panda, Softwin (Bitdefender), Sophos, Symantec, Trend Micro und VirusBuster. Ikarus erkennt immerhin noch 67, F-Prot 54 und AVG nur 13.

Inzwischen sind weitere Exploit-Dateien aufgetaucht, die zum Teil erst lückenhaft von Antivirus-Programmen erkannt werden. Siehe unsere Meldung: Neue Variante des WMF-Exploits in Mails mit Neujahrsgruß.