|
Scheint ja eine richtige Welle an Weihnachtsüberraschungen auf uns zu zu rollen, so hat es den Anschein !!!
Lest selbst:
Sehr geehrte Damen und Herren,
wir senden Ihnen heute wieder einen Sondernewsletter aufgrund des Auftauchens von weiteren neuen Würmern im Netz, die eine neue Gefahrensepisode einläuten. Wir schätzen die Gefahr als hoch ein, weil wieder einmal ein Sicherheitsloch in der Microsoft JAVA Virtual Machine benutzt wird. Verschiedene Schädlinge werden dabei ausgeführt, wenn eine präparierte Webseite besucht wird. Dieses Sicherheitsloch ist seit 2000 bekannt. Offensichtlich wurden aber nicht alle Rechner mit den zur Verfügung stehenden Patches ausgestattet.
01. JS/Coolsite.A
02. W32/Zacker-C
01. JS/Coolsite.A
JS/Coolsite.A ist ein Internet-Wurm, der eine Sicherheitslücke in der Microsoft JAVA Virtual Machine ausnutzt.
Der Wurm wird als eMail verschickt, in der ein eingebetteter Link eingefügt ist.
Die eMail trägt folgende Überschrift:
Hi!
Sie beinhaltet den Text:
Hi. I found cool site! http:/[omitted] It`s really cool!"
Folgt der Empfänger dem Link, wird ein destruktiver Code von der Webseite geladen und lokal gestartet. Der Code nutzt eine Sicherheitlücke einer ActiveX Komponente in der Virtual Machine, die einen Zugriff auf das lokale Dateisystem erlaubt. Angreifer haben so die Möglichkeit, Dateien einzusehen und zu manipulieren.
Danach überprüft das Script, ob eMails im Outlook-Ausgangskorb liegen, verändert die Überschrift jeder gefundenen eMail und übergibt den Link in die Nachricht. Danach versucht das Script, die manipulierten Nachrichten zu versenden.
Die Startseite des Internet-Explorers wird auf eine pornographische Seite verändert.
Weitere Informationen sowie ein Sicherheitspatch der Virtual Machine finden Sie unter:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-075.asp
02. W32/Zacker-C
Bereits wenige Stunden nach dem ersten Auftreten des Scriptes Coolsite.A wird ein weiterer Wurm mit dem Namen W32/Zacker-C gemeldet.
Aliases: W32/Maldal.c@MM, W32/Reeezak.A@mm, I-Worm.Keyluc
Der Wurm wird über eMail verschickt, die folgende Überschrift trägt:
Happy New Year
Der Inhalt der eMail lautet:
Hii
I can`t describe my feelings
But all I can say is
Happy New Year
bye
Der eMail hängt eine Datei an, die folgenden Namen trägt: christmas.exe
Wird die Datei ausgeführt, kopiert sich der Wurm in das Windows-Verzeichnis und erstellt einen Registry-Schlüssel zum Autostart unter:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
mit dem Wert:
Zacker= [windows]christmas.exe.
Der Wurm verändert den Namen des Computers, indem er einen weiteren Registry-Schlüssel manipuliert:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlComputerNameComputerNa meComputerName = Zacker
HKU.DEFAULTSoftwareMicrosoftInternet ExplorerMainStart
Hier wird eine Seite auf dem Geocities-Server eingetragen.
Zuletzt deaktiviert Zacker die Tastatur:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_MALDAL.C
alles liebe von Lia
|