Würmer tricksen MSN-Malwaresperre aus
Der MSN Messenger ist sehr beliebt - auch bei Malware-Autoren. In der aktuellen Version hat Microsoft sein Chatprogramm zwar mit einigen neuen Sicherheitsfunktionen ausgestattet. Ein Wurm trickst den halbherzigen Schutz aus.
Momentan kursiert ein IM-Wurm namens Licat.c, der es mal wieder auf den Microsoft Messenger abgesehen hat. Er schickt Links auf Dateien mit der Endung "PIF" an alle MSN-Kontake des infiziertes Computers. Der Name der verlinkten Dateien entspricht dem Schema "photo.PIF", sodass man auf den ersten Blick meinen könnte, es handele sich um ein herkömmliches Foto des Formats TIF oder GIF. PIF ist jedoch ein ausführbares Format, wie auch COM, EXE oder SCR. Klickt ein ahnungsloser Benutzer nun auf einen vom Wurm verschickten Link, wird die verlinkte PIF-Datei automatisch heruntergeladen und gestartet. Die PIF-Datei enthält einen sogenannten Trojan-Downloader. Dieser Downloader lädt nun den eigentlichen Schädling aus dem Internet herunter, installiert ihn und bringt ihn zur Ausführung. Jetzt geht das Prozedere von vorn los: Der aktivierte Wurm verschickt an alle Kontakte "seines" nun infizierten Systems die berüchtigten Fotolinks.
Eigentlich hatte Microsoft in seinen Messenger ab der Version 7 eine Sperre für PIF-Dateien integriert. Der Trick, mit dem die Hacker diese PIF-Sperre umgangen haben, ist trivial. Die Sperre in Microsoft Messenger unterscheidet nämlich zwischen Groß- und Kleinschreibung - im Gegensatz zum Betriebssystem. D.h. es werden nur PIF-Dateien mit kleingeschriebener Dateiendung blockiert (.pif). Dass bei einem Kürzel mit drei Buchstaben noch sieben weitere Schreibweisen (PIF,PIf,pIF,PiF,Pif,pIf,piF) möglich sind, nutzten die Computerkriminellen für ihre Belange aus: Sie schrieben die Dateiendung "PIF" einfach groß. Der MSN Filter erkennt die tückische Botschaft so als gefahrlosen Hyperlink an und lässt sie ungehindert passieren. Das Betriebssystem erkennt die Endung trotzdem und führt die Datei aus.
Microsoft sollte schnellstmöglich einen Patch bereitstellen, um die schleunige Weiterverbreitung des Wurms zu stoppen. MSN-Benutzer sollten bis dahin skeptisch sein und keine Links aus dem Messenger mehr aufrufen. Ab nächster Woche steht dann in G DATA AVK 2007 und G DATA Internet Security 2007 ein dedizierter Schutz für Instant Messaging Clients zur Verfügung. Nutzer der 2006er Produkte mit gültigem Lizenzschlüssel können kostenlos auf die neue Generation umsteigen. Wer den MSN Messenger nutzt, sollte das kostenlose Upgrade nutzen.
Weitere Informationen:
© 2007 - 2012 G Data Software AG. Todos os direitos reservados.
