Categories: FirewallSicherheit

TechReport: E-Mail Security





Die ersten per E-Mail in Umlauf gebrachten Viren und Trojaner setzten noch auf die Mitarbeit des Anwenders. Ein mehr oder minder interessanter Betreff wie „Super Screensaver“, „Anna Kurnikova nackt“ und ähnliches sollte den Benutzer dazu bewegen, das an der Mail hängende Attachment zu öffnen. Kam der User dieser Aufforderung nach, war es auch schon um ihn und seine Daten geschehen: Der angebliche Screensaver entpuppte sich als Trojaner, der eine Tür zur lokalen Festplatte öffnete; das vermeintliche JPG-Bild stellte sich als Visual-Basic-Script heraus, das alle Bilddateien auf der Festplatte löschte und sich zusätzlich an alle Kontakte im Adressbuch des Anwenders weiter leitete.

Der einfachste Fall: Anhand der Dateinamenserweiterung .vbs ist offensichtlich, dass es sich beim Attachment keines Falls um ein JPG-Bild handelt – leicht zu übersehen ist es trotzdem. (Abbildung vergrößern)

Besonders der letzte Aspekt ist tückisch, da er auf Social Engineering setzt. Einer Mail von „LuckyStar@hotsex.com“ steht man sicher kritischer gegenüber als einer Nachricht eines Geschäftspartners oder Freundes. Daher ist die Chance für einen Virus ungleich größer sich zu verbreiten, wenn er dies unter einer Absenderadresse tut, der der Empfänger „vertraut“.

Die Microsoft-Schwachstelle
Viele Verantwortliche versuchen diesem Problem Herr zu werden, indem sie spezielle Software zur Prüfung der eingehenden Post verwenden. Erkennt der Mail-Scanner einen Dateianhang in einem ausführbaren Format, verweigert er die Annahme und verhindert so eine mögliche Infektion. Leider ist dieses System vor allem beim Einsatz von Microsoft-Produkten nicht unbedingt sicher. Findige Hacker haben erkannt, dass sich auch Dateien versenden lassen, deren Namenserweiterung aus einer von Windows eigentlich intern verwendeten Class ID (CLSID) besteht.

Nur geübten Anwendern fällt der zusätzliche Punkt hinter der Dateinamenserweiterung .hta auf, hinter dem sich eine Class ID-Angabe verbirgt. (Abbildung vergrößern)

Normale Mail-Scanner finden entsprechende Dateien oft nicht, da das Namensschema nicht dem gesuchten Format „exe“, „bat“, „pif“, „vbs“, „doc“, „xls“ oder anderen bekannten Endungen entspricht. Der Effekt beim Anwender ist ungleich fataler: Ein Attachment wie „funny_picture.jpg.{CLSID} wird beim Speichern auf der lokalen Festplatte zu „funny_picture.jpg“. Intern hat sich Windows jedoch gemerkt, dass diese Datei mit der Class ID eines Visual Basic Scripts versehen ist. Beim Aufruf der Datei wird nun statt des Bildbetrachters der Interpreter für Visual Basic ausgeführt – und das Verhängnis nimmt seinen Lauf.

Ein mit den letzten Patches aktualisiertes Outlook Express zeigt die Class ID von Attachments an. (Abbildung vergrößern)

Page: 1 2 3 4 5 6 7 8 9 10 11 12

ZDNet.de Redaktion

Recent Posts

So günstig & effizient war Content Produktion noch nie: Neues Content System erobert deutschen Markt

Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…

4 Tagen ago

Lenovo übertrifft die Erwartungen und hebt Prognose an

KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…

4 Tagen ago

Bedrohungsakteure betten Malware in macOS-Flutter-Anwendungen ein

Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…

4 Tagen ago

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

1 Woche ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

1 Woche ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

1 Woche ago