Virenschutz gegen WMF-Exploit [Update]
Die Hersteller von Antiviren-Software bemĂŒhen sich nach KrĂ€ften, die Verbreitung des WMF-Exploit einzudĂ€mmen und liefern Signaturen aus, die prĂ€parierte WMF-Bilder erkennen.
Die Hersteller von Antiviren-Software bemĂŒhen sich nach KrĂ€ften, die Verbreitung des WMF-Exploit [1] einzudĂ€mmen und liefern Signaturen aus, die prĂ€parierte WMF-Bilder erkennen. Durch einen Fehler in der Grafik-Engine von Windows kann durch das Ăffnen von WMF-Bildern fremder Code ausgefĂŒhrt und beispielsweise Spyware installiert werden. Dazu genĂŒgt mit dem Internet Explorer das Ăffnen einer Web-Seite, die derartig prĂ€parierte Bilder einbindet. Auch die Dateivorschau fĂŒr eine bereits auf dem System befindliche Datei kann die Infektion auslösen.
Andreas Marx von AV-Test [2] hat einen Kurztest mit 73 verschiedenen Exemplaren durchgefĂŒhrt, die bereits im Internet verbreitet sind. Die Viren-Scanner von Avast!, BitDefender, ClamAV, F-Secure, Fortinet, McAfee, Nod32, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten dabei alle 73 als Sicherheitsrisiko und könnten somit eine Infektion verhindern. eTrust (VET), QuickHeal, AntiVir, Dr. Web, Kaspersky und AVG haben immerhin schon knapp ĂŒber 80 Prozent identifiziert. Mit weniger als 20 erkannten Exemplaren ist die Erkennungsleistung von Command, F-Prot, Ewido, eSafe, Ikarus und VBA32 derzeit noch mangelhaft. Normans Viren-Scanner versagte in diesem Test völlig und monierte keine einzige Datei.
Wichtig ist es, den Viren-Scanner beziehungsweise -WĂ€chter so einzustellen, dass er alle Dateien unabhĂ€ngig von der Dateiendung untersucht. Denn auch wenn die Bilder eine andere Endung tragen, sich also beispielsweise als JPG-Bild tarnen, erkennt Windows den Dateityp WMF und aktiviert den verwundbaren Windows Picture and Fax Viewer. Da derzeit die meisten infektiösen Websites noch mit der Dateiendung WMF arbeiten, ist es jedoch durchaus sinnvoll, dieses Dateiformat auf Web-Proxies von Firmen vorlĂ€ufig zu blockieren, auch wenn das natĂŒrlich keinen echten Schutz verspricht.
Update:
Am 31.12. 11:00 hat sich die Situation weiter gebessert: AntiVir, Avast!, BitDefender, ClamAV, Command, Dr Web, eSafe, eTrust-INO, eTrust-VET, Ewido, F-Secure, Fortinet, Kaspersky, McAfee, Nod32, Norman, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten nun alle 73 Samples. Nur die Scanner von QuickHeal (11 nicht erkannt), AVG (13), F-Prot (54), Ikarus (67) und VBA32 (67) lieĂen immer noch infektiöse WMF-Dateien unbeanstandet passieren, obwohl die Hersteller von AV-Test mit Samples versorgt wurden. AuĂerdem warnt Marx, dass offensichtlich einige der Hersteller lediglich Signaturen fĂŒr die von ihm verteilten Testexemplare gebaut hĂ€tten, aber keine generische Erkennung des Exploit-Mechanismus haben.
Siehe dazu auch: (ju [3])
- WMF-Exploit tarnt sich als Google-GruĂkarte [4] Meldung auf heise Security
- WMF-Bilder infizieren Windows-PCs [5] Meldung auf heise Security
- Weitere Details zur WMF-LĂŒcke [6] auf heise Security
- Security Advisory (912840) [7] von Microsoft
URL dieses Artikels:
https://www.heise.de/-161828
Links in diesem Artikel:
[1] https://www.heise.de/news/WMF-Exploit-tarnt-sich-als-Google-Grusskarte-Update-161521.html
[2] http://www.av-test.org/
[3] mailto:ju@ct.de
[4] https://www.heise.de/news/WMF-Exploit-tarnt-sich-als-Google-Grusskarte-Update-161521.html
[5] https://www.heise.de/news/WMF-Bilder-infizieren-Windows-PCs-161317.html
[6] https://www.heise.de/news/Weitere-Details-zur-WMF-Luecke-Update-161707.html
[7] http://www.microsoft.com/technet/security/advisory/912840.mspx
Copyright © 2005 Heise Medien