Hilfe
Neues Thema
Antworten
Heise.de Meldung vom 26.02.2004 10:20
Auch Wurm NetSky mutiert
************************
Nachdem nun schon der Wurm MyDoom bis zur F-Variante mutiert ist, warnen
die Hersteller von Antivirensoftware vor der C-Variante des NetSky-Wurms,
auch bekannt als Moodown.
Anders als noch im letzten Jahr geben die Hersteller mittlerweile fast
täglich neue Warnungen vor Wurm-Ausbrüchen heraus.
Allerdings ist trotzdem wohl nicht damit zu rechnen, dass der morgendliche
Schädlingsbericht einen ähnlichen Stellenwert einnehmen wird wie der Wetterbericht.
Der Wurm verbreitet sich über eine eigene SMTP-Engine.
- Die Absenderadresse ist wie bei allen Mass-Mailing-Würmern stets gefälscht.
- Die Zieladressen zum Versand findet er in diversen Dateien auf dem System.
- Der Wurm versendet sich als Dateianhang der Mail.
- Die Dateinamen variieren dabei stark.
- Zusätzlich kopiert sich der Wurm mit interessant klingenden Dateinamen in
lokale Verzeichnisse und Verzeichnisse von Netzlaufwerken, wenn deren Namen
den String "shar" enthält, um sich über Tauschbörsen wie Kazaa und andere
zu verbreiten.
Ein Schadroutine hat der Wurm nicht, am 26. Februar versucht er allerdings
zwischen 6 und 8 Uhr morgens den PC-Lautsprecher zu Piepen zu bringen.
Zur Entfernung des Wurms hat NAI sein kostenloses Tool Stinger aktualisiert.
Grundsätzlich gilt:
===================
- Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft
öffnen, anklicken oder ausführen.
- Auch wenn der Absender bekannt ist, kann die Mail den Wurm enthalten.
- Ohnehin sollten deutsche Anwender die -- allerdings stark variierenden --
englischen Betreffzeilen und Nachrichtentexte stutzig machen.
- Weitere Informationen zum Schutz vor Viren und Würmer finden sich auf den
Antiviren-Seiten von heise Security.
--------------------------------------------------------------------------------
http://www.heise.de/...r/meldung/45024
Heise.de Meldung vom 26.02.2004 11:57
Schwachstelle in Windows Explorer unter XP
******************************************
Einem Posting auf Bugtraq zufolge sollen manipulierte Grafiken im EMF-Format
(Enhanced Metafile) einen Heap Overflow im Windows Explorer unter XP provozieren, der in der Folge abstürzt.
Potenziell kann ein Angreifer damit auch beliebigen Code auf das System schreiben und mit den Rechten des angemeldeten Benutzers ausführen.
Der Fehler tritt sowohl bei der Vorschau in der Miniaturansicht auf
-- wenn der Explorer die Grafik in einem Verzeichnis darstellt --
als auch bei der normalen Vorschau, etwa über die rechte Maustaste.
Schuld sind wahrscheinlich zwei Fehler in der Bibliothek "shimgvw.dll", bei der die Größe der Datei (Total-Size-Feld) im Header vor dem Einlesen fehlerhaft überprüft wird.
Der Autor des Postings weist darauf hin, dass der Explorer auch WMF-Dateien fehlerhaft verarbeitet.
Ein Patch gibt es derzeit nicht.
Als Workaround sollte man die Miniaturansicht abschalten und EMF/WMF-Dateien nicht in der Explorer-Vorschau ansehen, sondern mit einem anderen Bildbetrachtungsprogramm.
Einen ähnlichen Fehler bei der Verarbeitung von BMP-Dateien im Internet Explorer 5.x entdeckten vor kurzem Sicherheitsexperten nach der ungewollten Veröffentlichung des Windows-2000-Quellcodes.
Manipulierte BMP-Dateien brachten aber nicht den Internet Explorer 6.0 zum Absturz, da Microsoft diesen Fehler dort bereits seit längerem behoben hatte.
Anwendern älterer Versionen wurde aber bis dato kein Patch zu Verfügung gestellt.
Angehängte Miniaturbilder
Dieser Beitrag wurde von reiner bearbeitet: 26. Februar 2004 - 13:41
Nach oben
