TechReport: E-Mail Security





Die ersten per E-Mail in Umlauf gebrachten Viren und Trojaner setzten noch auf die Mitarbeit des Anwenders. Ein mehr oder minder interessanter Betreff wie „Super Screensaver“, „Anna Kurnikova nackt“ und ähnliches sollte den Benutzer dazu bewegen, das an der Mail hängende Attachment zu öffnen. Kam der User dieser Aufforderung nach, war es auch schon um ihn und seine Daten geschehen: Der angebliche Screensaver entpuppte sich als Trojaner, der eine Tür zur lokalen Festplatte öffnete; das vermeintliche JPG-Bild stellte sich als Visual-Basic-Script heraus, das alle Bilddateien auf der Festplatte löschte und sich zusätzlich an alle Kontakte im Adressbuch des Anwenders weiter leitete.

Bild 2 Der einfachste Fall: Anhand der Dateinamenserweiterung .vbs ist offensichtlich, dass es sich beim Attachment keines Falls um ein JPG-Bild handelt – leicht zu übersehen ist es trotzdem. (Abbildung vergrößern)

Besonders der letzte Aspekt ist tückisch, da er auf Social Engineering setzt. Einer Mail von „LuckyStar@hotsex.com“ steht man sicher kritischer gegenüber als einer Nachricht eines Geschäftspartners oder Freundes. Daher ist die Chance für einen Virus ungleich größer sich zu verbreiten, wenn er dies unter einer Absenderadresse tut, der der Empfänger „vertraut“.

Die Microsoft-Schwachstelle
Viele Verantwortliche versuchen diesem Problem Herr zu werden, indem sie spezielle Software zur Prüfung der eingehenden Post verwenden. Erkennt der Mail-Scanner einen Dateianhang in einem ausführbaren Format, verweigert er die Annahme und verhindert so eine mögliche Infektion. Leider ist dieses System vor allem beim Einsatz von Microsoft-Produkten nicht unbedingt sicher. Findige Hacker haben erkannt, dass sich auch Dateien versenden lassen, deren Namenserweiterung aus einer von Windows eigentlich intern verwendeten Class ID (CLSID) besteht.

Bild 3 Nur geübten Anwendern fällt der zusätzliche Punkt hinter der Dateinamenserweiterung .hta auf, hinter dem sich eine Class ID-Angabe verbirgt. (Abbildung vergrößern)

Normale Mail-Scanner finden entsprechende Dateien oft nicht, da das Namensschema nicht dem gesuchten Format „exe“, „bat“, „pif“, „vbs“, „doc“, „xls“ oder anderen bekannten Endungen entspricht. Der Effekt beim Anwender ist ungleich fataler: Ein Attachment wie „funny_picture.jpg.{CLSID} wird beim Speichern auf der lokalen Festplatte zu „funny_picture.jpg“. Intern hat sich Windows jedoch gemerkt, dass diese Datei mit der Class ID eines Visual Basic Scripts versehen ist. Beim Aufruf der Datei wird nun statt des Bildbetrachters der Interpreter für Visual Basic ausgeführt – und das Verhängnis nimmt seinen Lauf.

Bild 4 Ein mit den letzten Patches aktualisiertes Outlook Express zeigt die Class ID von Attachments an. (Abbildung vergrößern)

 

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu TechReport: E-Mail Security

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *