Der Panda Software Wochenbericht über Malware-Aktivitäten

Drei Sicherheitsprobleme in mehreren Microsoft Produkten ermöglichten Malware-Programmierern in der vergangenen Woche betroffene Systeme zu missbrauchen
(PresseBox) (Duisburg, ) Zudem waren zwei Trojaner, Mitglieder.HE und Spymaster.A, sowie der Wurm Mytob.ML besonders aktiv im Netz unterwegs.

Die erste Sicherheitslücke betrifft die Betriebssysteme Office 2000 SP3, Office XP SP3, Office 2003 SP1 und SP2 sowie den Exchange Server. Verursacht wird die Schwachstelle durch die Outlook Bearbeitung von TNEF (Transport Neutral Encapsulation Format) Protokollen zur Verschlüsselung von E-Mail Nachrichten.

Die Ausführung der in Windows eingebauten, missgebildeten Web Fonts bewirkt die Verwundbarkeit der Betriebssysteme 2003, XP, 2000, Me und 98 und betrifft die Ausführung eingebetteter Schriften in Internet Seiten. Indem User dazu verleitet werden, speziell entwickelte Webseiten aufzurufen, können schadhafte Codes in das System eingeschleust werden.

Ein weiteres Sicherheitsproblem, das in der vergangene Woche entdeckt wurde, betrifft die Graphics Rendering Engine in den Windows Betriebssystemen 2003, XP und 2000. Der Besuch einer manuell erstellten Webseite oder das Öffnen eines WMF (Windows Meta File) Bildes in einer E-Mail ermöglichen das Abspielen eines beliebigen Codes.

Um diese Lücken zu schließen, hat Microsoft drei Sicherheitsbulletins, MS06-003, MS06-002 und MS06-001, veröffentlicht. Nutzer von betroffenen Systemen sollten die verfügbaren Patches installieren.

Mitglieder.HE, der erste Trojaner unseres Wochen-Rückblickes, besitzt die Fähigkeit einen SMTP Server zu starten und eigene Kopien via E-Mails zu versenden. Der Trojaner öffnet den Port 9031 auf infizierten Computern und agiert als Proxy Server. Zusätzlich erhält er Kontrollkommandos, um Dateien runter zu laden oder abzuspielen, SMTP Server zu starten, den Zugangsport zu ändern oder seinen eigenen Code zu aktualisieren.

Wie Mitglieder.HE ist auch Spymaster.A nicht in der Lage sich automatisch zu verbreiten. Durch die Interaktion des Nutzers, verteilt sich der Trojaner gewöhnlich im Anhang (Dateiname: SERVER.EXE) einer Nachricht. Nachdem er sich den Zutritt in ein fremdes System verschafft hat, protokolliert er vom Nutzer eingetippte Tastaturanschläge, zeichnet Passwörter und weitere vertrauliche Informationen auf, überwacht besuchte Webseiten und erstellt, verändert oder löscht Dateien. Die aufgespürten Daten werden in einer Datei gespeichert und an einen FTP Server gesendet. Da sich Spymaster.A als MSN Nachricht in Computer einschleust, bemerken die betroffenen User seine Anwesenheit meistens nicht.

Als Link innerhalb von E-Mails infiziert der Wurm Mytob.ML fremde Rechner, um dann eine Verbindung zu einem IRC Server aufzubauen, Prozesse anderer Malware-Arten abzubrechen, bestimmte Sicherheits-Module, wie die Firewall, abzuschalten und den Zugriff auf verschiedene Webseiten, insbesondere die von Antiviren-Herstellern, zu verhindern.

Weitere Informationen finden Sie in der Panda Software Viren Enzyklopädie.

Kontakt

Panda Security Germany
Dr. Alfred-Herrhausen-Allee 26
D-47228 Duisburg
Margarita Mitroussi
Presse
Presse und PR
Social Media