Er ist da: der erste Backdoor-Trojaner per JPEG
Einer Meldung von Bugtraq zufolge wurde in einigen Adult-Newsgroups gestern ein Bild gepostet, das die JPEG-Sicherheitslücke ausnutzt und eine Backdoor installiert. Mit den aktuellen AVK-Virensignaturen wird der Trojaner erkannt. Es wird empfohlen die Virensignaturen zu aktualisieren.
Schon am vergangenen Wochenende wurden die ersten Schädlinge erwartet, die die JPEG-Sicherheitslücke ausnutzen. Jetzt ist es so weit. Auf Bugtraq wurde berichtet, dass in einigen Adult-Foren ein JPEG gepostet wurde, das diese Sicherheitslücke nutzt, um einen Trojaner zu installieren.
Wenn der Pufferüberlauf in GDI+ erfolgreich war, meldet sich der Trojaner beim Angreifer und stellt eine Verbindung zu einem ftp-Server her, von dem ca. 2 MB Daten geladen werden. Der Trojaner erzeugt das Verzeichnis C:WindowsSystem32system und legt dort die Dateien nvsvc.exe und winrun.exe ab. Er startet sich selbst als Dienst, wodurch er in der Prozessliste der Tasks nicht erscheint. Außerdem startet er ein Tool, mit dem man den Rechner fernsteuern kann. Der aktuelle Exploit verbreitet sich nicht selbständig und ist daher kein Wurm. Aber der wird auch nicht mehr lange auf sich warten lassen.
AVK erkennt den Trojaner als Exploit.Win32.MS04-028.gen oder als TrojanDropper.Win32.Exploit-MS04-028. Wir raten dazu die Virensignaturen zu aktualisieren. Außerdem ist es ratsam die Updates von Microsoft durchzuführen und nur noch vertrauenswürdige Webseiten zu besuchen und unaufgefordert zugesandte HTML-Emails nicht mehr zu öffnen.
Weitere Informationen:
Exploit.Win32.MS04-028.gen im Virenlexikon von AntiVirusLab
Microsoft Update der JPEG-Verarbeitung GDI+ (engl.)
© 2007 - 2012 G Data Software AG. Todos os direitos reservados.
