Categories: FirewallSicherheit

Erhöhtes Sicherheitsrisiko: neue Viren-Generation gesichtet

Das Sicherheitsunternehmen Sophos schlägt vor, Viren-Angriffe wie Swen durch ein Programm abzuwehren, das E-Mail-Anhänge bereits auf dem Server blockiert. Zufälligerweise bietet Sophos genau ein solches Produkt an: MailMonitor for SMTP. Trotzdem ist dies ein vernünftiger Vorschlag. Da Swen und einige andere neue Viren sich vor allem über Kazaa verbreiten, sollten Unternehmen jegliche P2P-File-Sharing-Software von ihren Rechnern verbannen. Dies ist ohnehin empfehlenswert, da diese P2P-Anwendungen häufig zum Austausch von Pornographie oder illegalen Musikdateien genutzt werden, wogegen ihre wirklich sinnvolle Nutzung in einem Unternehmen jedoch eher selten ist. Auch bei Computer Associates findet sich ein detaillierter Bericht zu Swen.

Der Trojaner Qhosts, der Systeme über eine bösartige Bannerwerbung infiziert, nutzt einen fehlerhaften Sicherheitspatch aus, beziehungsweise einen, der nicht alle Sicherheitslücken stopfen konnte. Das Microsoft Security Bulletin MS03-032 berichtet von einem Risiko für den Internet Explorer im Zusammenhang mit einer Open Type-Sicherheitslücke. Leider musste Microsoft am 8. September das Bulletin vom 20. August dahingehend korrigieren, dass der beigefügte Patch nicht derartigen Sicherheitslücken im Internet Explorer stopft. Am 3. Oktober gab Microsoft einen aktualisierten Patch heraus (MS03-040), der die von Qhosts genutzte Lücke blockieren soll. Andere Malware bedroht aber immer noch all die Systeme, die den Patch aus MS03-032 noch nicht eingespielt haben.

Der Trojaner Qhosts leitet Suchanfragen von Google und anderen beliebten Suchmaschinen auf fremde Server um. Außerdem leitet er auch alle DNS-Anfragen an einen neuen Server um, einschließlich solcher, die lokal behandelt werden sollten, was auf einigen Systemen zu schwerwiegenden Problemen führen kann. Das Motiv hierfür besteht offensichtlich darin, von der Anzahl der Seitenbesuche bzw. den Klickraten zu profitieren.

Die CERT Vulnerability Note VU#865940 beschreibt das Vorgehen von Qhosts im Detail und berichtet, dass es bislang noch keinen 100-prozentigen Workaround für diese Sicherheitslücke gibt. Verwundbar sind IE, Outlook und Outlook Express sowie alle anderen Programme, die das Webbrowser-ActiveX-Control oder MSHTML verwenden (die HTML-Rendering-Engine des IE). Zumindest öffnen aktuelle Versionen von Outlook und Outlook Express E-Mails in der Zone für eingeschränkte Sites, die ActiveX standardmäßig deaktiviert.

Der mit MS03-032 bereitgestellte Patch verhindert das Ausführen von HTML-Anwendungen in einigen, aber nicht allen Fällen. CERT bestätigt Berichte, nach denen HTML-Anwendungen ausgeführt werden, wenn der erforderliche HTML-Code per Datenbindung erzeugt wurde. Obwohl der kumulative Patch in MS03-040 dieses Problem wahrscheinlich behebt, ist dies bereits der fünfte Patch in diesem Jahr, der ähnliche Probleme im IE behandelt (nach MS03-004, MS03-015, MS03-020 und MS03-032). Der Patch ist damit zwar notwendig, dürfte aber wahrscheinlich noch nicht der Weisheit letzter Schluss zu dieser Art von Fehlern im IE sein.

Darüber hinaus behauptet eEye Digital Security, dass diese Lücke im Grunde eine Data-Tag-Schwachstelle sei. eEye hat schon früher eine Open Type-Sicherheitslücke entdeckt und der weist IE ähnliche Sicherheitsmängel schon seit mehreren Jahren auf. Die einzige wirksame Lösung besteht darin, Versionen des IE ab Version 5 zu deaktivieren, ebenso Outlook und Outlook Express, oder die Unterstützung für Active Scripting abzuschalten.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

6 Tagen ago

iOS und iPadOS 18.2 beseitigen 21 Sicherheitslücken

Schädliche Apps können unter Umständen einen Systemabsturz auslösen. Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung.

7 Tagen ago

Top-Malware im November: Infostealer Formbook bleibt Nummer 1

Sein Anteil an allen Infektionen steigt in Deutschland auf 18,5 Prozent. Das Botnet Androxgh0st integriert…

7 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome

Betroffen sind Chrome 131 und früher für Windows, macOS und Linux. Angreifer können unter Umständen…

7 Tagen ago

Data Analytics: Dienstleister wachsen zweistellig

Marktforscher Lündendonk erwartet für das Jahr 2025 ein durchschnittliches Umsatzwachstum von 14,9 Prozent.

1 Woche ago

Open-Source-Malware auf Rekordniveau

Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt

1 Woche ago