:: NORMAN :: Antivirus | Firewall

Startseite

News

Produkte und Dienstleistungen

Viren und Sicherheit

Support

Download

Partner

Kaufen

Land auswählen

Produkt auswählen

Viren und Sicherheit » Sicherheitsinformationen » 2006 » Übersicht über die Sicherheitsereignisse 2006 (I)

Übersicht über die Sicherheitsereignisse 2006 (I)

Zu meinen Norman Favoriten hinzufügen

Sicherheitshinweis, Woche 14, 2006

Januar 2006

1. Januar: MS06-001, Sicherheitsanfälligkeit in Windows-Metadateien (WMF)

Das neue Jahr begann gleich mit einer Sicherheitsanfälligkeit, die im Grafikwiedergabemodul von Windows entdeckt wurde. Ein Angreifer könnte diese Anfälligkeit ausnutzen, um durch eine spezielle Windows-Metadatei (.wmf) Code auf dem System auszuführen und das System unter seine Kontrolle zu bringen. Da dieses Modul in allen Windows-Versionen vorhanden ist und zur Anzeige grafischer Inhalte genutzt wird, waren von dieser Sicherheitsanfälligkeit alle Windows-Computer betroffen. Noch am selben Tag, an dem die Sicherheitsanfälligkeit bekannt wurde, wurde die erste Malware entdeckt, die sie ausnutzte. Es handelte sich somit um einen „Day-Zero“-Angriff.

Norman integrierte eine Technologie in die SandBox, um diesen und zukünftige Angriffe auf diese Sicherheitsanfälligkeit zu erkennen. Es wurde noch einige Tage lang Malware gefunden, die versuchte, diese Sicherheitsanfälligkeit auszunutzen, aber alle Angriffe konnten mit der Norman SandBox-Technologie abgewehrt werden.

5. Januar: Der Sober-„Angriff“

Der von einigen Experten für den 5. Januar vorhergesagte Sober-Angriff fand nicht statt. Ein Grund hierfür ist eine Ungenauigkeit in den Analysen: Der Vergleich in der letzten Sober-Variante lautet „ComparisonDay > 5 January“. Das richtige Datum wäre somit frühestens der 6. Januar gewesen. Aber auch am 6. Januar und den darauf folgenden Tagen geschah nichts. Das Gerücht von der angeblichen „Feier“ anlässlich des 87. Jahrestags der Gründung der NSDAP wurde wohl mehr aus Publicity-Gründen von einem Unternehmen im Umlauf gebracht. Warum sollte der Verfasser des Virus den Jahrestag der Nazi-Partei im Anschluss an den 5. Januar täglich feiern?

10. Januar: MS06-002, Sicherheitsanfälligkeit bei eingebetteten Schriftarten

Beim Surfen im Internet greifen die Anwender oft unbeabsichtigt auf Webseiten zu. Dies geschieht häufig infolge der Angabe fehlerhafter URLs bei der Domänenregistrierung. Mit MS06-002 hat sich das Gefahrenpotenzial noch erhöht, da unter Windows eine Sicherheitsanfälligkeit im Umgang mit eingebetteten Webschriftarten erkannt wurde. Der Besuch einer manipulierten Website oder das Öffnen einer speziell gestalteten E-Mail-Nachricht könnte einen Angreifer in die Lage versetzen, Code auszuführen und das System vollständig unter Kontrolle zu bringen.

10. Januar: MS06-003, Sicherheitsanfälligkeit bei der TNEF-Decodierung

Diese Sicherheitsanfälligkeit tritt auf, wenn ein Benutzer eine Nachricht mit einer speziell gestalteten MIME-Anlage im TNEF-Format (Transport Neutral Encapsulation Format) öffnet oder wenn eine derartige Nachricht vom Exchange Server-Informationsspeicher verarbeitet wird. Der Angreifer und Absender der Nachricht kann die vollständige Kontrolle über die betroffenen Systeme erlangen.

17. Januar: W32/Small.KI - alles andere als klein

Vor W32/Small.KI gab es lange Zeit keinen weit verbreiteten Virus mit ernsthaft destruktiver Payload. Dieser Virus ist genauso mysteriös wie namenlos. Bei fast allen Virenschutzanbietern wird er unter einem anderen Namen aufgeführt: Nyxem, MyWife und KillAV, um nur einige wenige zu nennen. Scheinbar hat dieser Virus genauso viele Namen wie Schadenspotenzial: An jedem 3. des Monats, beginnend mit dem 3. Februar 2006, beschädigt der Virus Daten in Word-Dokumenten, Excel-Kalkulationstabellen, Access-Datenbanken, PowerPoint-Präsentationen, Adobe PDF-Dateien, Zip- und Rar-Archiven usw. Dem Virus wurde der CME-Bezeichner CME-24 zugewiesen.

Februar 2006

3. Februar: Kein W32/Small.KI-Angriff

Trotz der weiten Verbreitung dieses Virus und der potenziellen destruktiven Payload am 3. jedes Monats (erstmals am 3. Februar) gab es kaum (bzw. keine) Berichte über Personen, die Datenverluste zu verzeichnen hatten. Ein externer Webzähler, der die Zahl der Infektionen (bzw. vielmehr die Anzahl der Aufrufe einer bestimmten Webseite) erfasste, zählte weit über 15.000.000 Aufrufe. Die meisten Benutzer hatten also Vorsichtsmaßnahmen getroffen und ihre Antivirenprogramme aktualisiert.

14. Februar: MS06-004, WMF-Sicherheitsanfälligkeit

Im WMF-Grafikwiedergabemodul wurde eine weitere Sicherheitsanfälligkeit erkannt. Diese könnte die Remoteausführung von Code durch speziell gestaltete Grafiken ermöglichen, die beim Aufrufen manipulierter Websites oder Öffnen einer E-Mail-Nachricht mit der Grafik geladen werden. Diese Sicherheitsanfälligkeit betrifft zwar ebenfalls das WMF-Grafikmodul, unterscheidet sich jedoch von den früher gefundenen Sicherheitsanfälligkeiten MS05-053 und MS06-001.

14. Februar: MS06-005, Sicherheitsanfälligkeit in Windows Media Player

Windows Media Player ermöglicht den Abruf von Bitmaps. Am häufigsten handelt es sich dabei um das Cover der wiedergegebenen Alben. Speziell gestaltete Covers könnten die Remoteausführung schädlichen Codes ermöglichen. Die Wahrscheinlichkeit, von dieser Sicherheitsanfälligkeit betroffen zu werden, ist gering, da entsprechende Angriffe ein hohes Maß an Interaktion erfordern. Außerdem befinden sich die meisten Covers auf vertrauenswürdigen Websites der Musikindustrie. Damit die dort angebotenen Covers durch manipulierte Covers ersetzt werden können, müssten Angreifer also zunächst einmal in die Websites eindringen.

14. Februar: MS06-006, Sicherheitsanfälligkeit im Windows Media Player-Plug-In

Und erneut ist Windows Media Player betroffen, dieses Mal von einer Sicherheitsanfälligkeit im Plug-In für Webbrowser anderer Anbieter als Microsoft. Diese Sicherheitsanfälligkeit ist auf die Behandlung von <EMBED>-Elementen im Windows Media Player-Plug-In zurückzuführen. <EMBED>-Elemente sind Tags und die gängigste Methode, um Audiowiedergaben in Internetseiten einzubinden. Ein speziell gestaltetes, schädliches <EMBED>-Element auf einer Website kann beim Besuch dieser Website die Ausführung von Remotecode in Nicht-Microsoft-Browsern verursachen.

14. Februar: MS06-007, Mögliche Denial-of-Service-Angriffe infolge einer Ping-Sicherheitsanfälligkeit

Spezielle Ping-Pakete (IGMP) können verursachen, dass betroffene Systeme nicht mehr reagieren. Diese Sicherheitsanfälligkeit ermöglicht somit echte DoS-Attacken (Denial of Service). Werden keine geeigneten Schutzmaßnahmen getroffen und Patches installiert, kann es zum Ausfall ganzer Netzwerke kommen.

16. Februar: Erste Mac OS X-Malware: OSX/Leap.A

Seit Jahrzehnten hören Windows-Anwender von Macintosh-Benutzern, dass Mac OS sicherer und die Macintosh-Umgebung benutzerfreundlicher sei. Nun wurde endlich eine recht kleine Malware verbreitet und erkannt, die auf Mac OS X abzielt. Bei OSX/Leap.A handelt sich eigentlich eher um einen Proof-of-Concept als um Malware, da er zwar auf dem Empfängersystem ausgeführt wird, sich aber nicht weiter verbreiten kann. Und doch: Die erste halbwegs erfolgreiche Malware für OS X ist nun Wirklichkeit. In Zukunft sind mit größter Wahrscheinlichkeit weitere Versuche zu erwarten. Eines Tages wird also mit Sicherheit eine Malware für OS X auftreten, die sich erfolgreich verbreitet.

17. Februar: Zweite Mac OS X-Malware: OSX/Ingtana.A

Tatsächlich hat es nur einen Tag gedauert, bis die nächste Malware für OS X aufgetaucht ist: ein Wurm namens OSX/Ingtana.A. Dieser Wurm verbreitet sich erfolgreich mithilfe von Bluetooth, verwendet jedoch eine zeitlich begrenzte Demoversion einer Bluetooth-Bibliothek. Somit ist er ebenfalls als Proof-of-Concept anzusehen. Wäre der Wurm mit einer unbegrenzten Version kompiliert worden, hätte er ein größeres Gefahrenpotenzial dargestellt. Bei Apple sind Aktualisierungen mit einem Systempatch zum Schutz vor der Sicherheitsanfälligkeit CVE 2005-1333 (Verzeichniszugriff durch Datei- und Objektaustausch mittels Bluetooth) erhältlich, welche dieser Wurm ausnutzt.

März 2006

6. März: Proof-of-Concept-Virus für InfoPath

Ein neuer Proof-of-Concept-Virus wurde entdeckt, der eine weitere Anwendung der Microsoft Office-Suite infiziert. Dieses Mal ist InfoPath betroffen, und der Virus heißt W32/Icabdi.A. Das Interessante an diesem Fall ist, dass der Virus auf bestimmte externe Anwendungen sowie Schreib- und Ausführungsberechtigungen für ein bestimmtes Verzeichnis auf der Festplatte des Benutzers angewiesen ist. Da dieser Proof-of-Concept-Virus keine Payload trägt und von externen Anwendungen abhängig ist, ist das Risiko so gering, dass sich Anwender keine Sorgen machen müssen. Natürlich sehen wir möglicherweise in Zukunft eine Flut von Viren, die dieselbe Technik nutzen, wie es bei allen Proof-of-Concept-Viren der Fall ist.

10. März: Trojaner versteckt sich hinter Kinderpornografie

Ein trauriger Tag: Norman hat einen neuen Trojaner identifiziert. Dies ist natürlich in einem Sicherheitsunternehmen nichts Ungewöhnliches. Das Schlimme an diesem Trojaner ist, dass er einen Film mit Kinderpornografie installiert und abspielt. Der Trojaner mit dem Videoclip verbreitet sich im Internet über verschiedene Kanäle, Tauschbörsen (u. a. Kazaa) und vermutlich per E-Mail. Der Trojaner mit dem Namen W32/Agent.ULL warnt zwar vor dem sexuell expliziten Inhalt des Films, nutzt den Videoclip jedoch gleichzeitig als Lockmittel, damit Benutzer darauf klicken.

Seine wichtigste Funktion ist nicht die Wiedergabe des Films, sondern die Installation einer Reihe anderer schädlicher Programme, die während der Wiedergabe automatisch heruntergeladen werden. Der Film dient als Ablenkung vor diesen anderen Aktivitäten. Bei den schädlichen Programmen, die heruntergeladen und installiert werden, handelt es sich um verschiedene Adware- und Spyware-Dateien sowie eine Anzeigenkampagne für pornografische Websites.

Eine Woche später ging bei Norman ein zweiter Trojaner ein, in dem derselbe Film verwendet wurde. Hoffentlich entwickelt sich hier kein neuer Trend. Allerdings zeigt sich an diesem Beispiel der Aufwand, den Adware-/Spyware-Hersteller betreiben, um ihre Werke an den Mann zu bringen.

14. März: MS06-012, Remoteausführung aus MS Office

Wenn auf den betroffenen Systemen der Benutzer mit Administratorrechten angemeldet ist, könnte ein Angreifer volle Zugriffsrechte auf und somit die volle Kontrolle über das System erlangen, was ihm die Ausführung jedes beliebigen Codes erlauben würde. Diese Sicherheitsanfälligkeit wurde von Microsoft als kritisch eingestuft, da sie in allen Office-Versionen auftritt, auch in denen für Macintosh.

15. März: Proof-of-Concept für einen RFID-Virus

Forschern der Universität Amsterdam (Niederlande) ist es gelungen, einen RFID-Chip (Radio Frequency Identification Device, Gerät zur Funkerkennung) mit einem Computervirus zu infizieren. Bisher galt die Annahme, dass die Speicherkapazität von RFID-Chips für eine Infektion zu gering ist. Die Forscher haben diese These nun widerlegt. RFID-Chips werden auf vielfältige Weise in Pässen, Gepäckanhängern von Fluggesellschaften oder elektronischen Geräten genutzt. Beispielsweise können sie auch Haustieren unter die Haut gepflanzt werden. Zwar gibt es eine Reihe von Voraussetzungen, die für einen Virenbefall erfüllt sein müssen (u. a. bestimmte RFID-Schreibgeräte), nach der Veröffentlichung des Codes wird es bis zum Auftreten des ersten Virus jedoch nicht mehr lange dauern.

21. März: DRM-Software erzwingt unsauberen Neustart

StarForce ist ein bekannter Hersteller von DRM-Software für die Spieleindustrie. Nun wurde festgestellt, dass bei der Implementierung ein Treiber auf der höchsten Systemebene (ring0) installiert wird. Auf dieser Ebene wird der Treiber immer geladen und ausgeführt, unabhängig davon, ob ein durch die DRM-Software von StarForce geschütztes Spiel gespielt wird oder nicht. Ein Treiber, der auf dieser Ebene ausgeführt wird, hat die komplette Kontrolle über das System. Erkennt die DRM-Software ein verdächtiges Verhalten, das darauf hinweist, dass die geschützte Software kopiert wird, erzwingt sie einen Neustart des Systems. Berichten zufolge erfolgt dieser auf eine äußerst zerstörerische Art und Weise: Der Computer wird nicht normal heruntergefahren und ungespeicherte Arbeit gespeichert, sondern es erfolgt ein abrupter, sofortiger Neustart, bei dem alle ungespeicherten Daten verloren gehen.

22. März: Ein Wurm als Rootkit

Der Autor bzw. die Autoren der Bagle-Würmer haben ihre neuesten Schöpfungen mit einer neuen Ebene versehen. Mit W32/Bagle.MD führten sie die Rootkit-Technologie ein. Dadurch ist der Wurm schwieriger zu erkennen und aus dem Speicher zu entfernen. Der Einsatz von Rootkit-Technologie in Würmern oder Viren kann für die Malware-Autoren lukrativ sein, da durch die Verbreitung von Malware ständig eine Vielzahl von Systemen infiziert wird.

23. März: Neue Sicherheitslücke in Internet Explorer (CVE 2006-1359)

Die Art, wie Internet Explorer mit dem createTextRange()-Aufruf eines Checkbox-Objekts umgeht, stellt eine potenzielle Gefährdung dar. Speziell gestaltete Websites können einen Absturz von Internet Explorer verursachen, sodass beliebiger Code ausgeführt werden kann. Auf mindestens 37 Websites wurde aktiver Proof-of-Concept-Code gefunden. Ein Patch von Microsoft steht noch aus. Andere Browser sind nicht betroffen. Eine Problemumgehung für Benutzer von Internet Explorer besteht darin, Active Scripting und Scripting von Java-Applets zu aktivieren. Unter http://support.microsoft.com/kb/154036/de finden Sie eine Beschreibung der Vorgehensweise für die verschiedenen Versionen von Internet Explorer.

Norman hat alle Produkte mit dem allgemeinen Erkennungsmechanismus JS/Exploit!CVE-2006-1359 ausgestattet. Zum Zeitpunkt, als dieser Artikel geschrieben wurde, konnte damit das gesamte Material, das aufgrund dieses Exploits von schädlichen Websites herunterladen wurde, erfolgreich aufgehalten werden.

VIRUSWARNUNGEN

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Neueste Virensignaturen

>>	2009-01-07

Sicherheitsinfo

>>	Summing up 2008 and predictions for 2009
>>	Weihnachten – Zeit der Freude UND der Sorge

Sicherheitshinweise

>>	Unscheduled update for Microsoft Internet Explorer
>>	Sechs wichtige Updates für Microsoft-Betriebssysteme im Dezember 2008

Norman zählt weltweit zu den führenden Herstellern von Daten- und Netzwerksicherheits-Lösungen. Mit Produkten zum Schutz vor Viren, Spyware, Adware, Phishing und Spam spielt das Unternehmen eine entscheidende Rolle in der Datenindustrie.