Passwortspione nutzen offene Windows-Lücke

Angriff über DirectX
Bild 1 von 1

Angriff über DirectX

 
26.06.2009 - 15:50 Uhr von Frank Ziemann

Online-Kriminelle nutzen eine bislang nicht geschlossene Sicherheitslücke in Windows, um Malware einzuschleusen, die Passwörter für Online-Spiele ausspionieren soll. Ein Patch ist noch nicht in Sicht.

Die Ausnutzung der seit Ende Mai bekannten Sicherheitslücke in der Grafikschnittstelle von Windows zieht weitere Kreise. Mitte dieser Woche haben wir bereits über Phishing-Angriffe unter Nutzung der DirectShow-Schwachstelle in Windows 2000, XP und Server 2003 berichtet. Microsoft meldet nun ebenfalls beobachtete Web-Seiten, die Malware mit Hilfe speziell präparierter Mediendateien einschleusen, um Passwörter für Online-Spiele zu stehlen.

Die DirectShow-Lücke geht auf einen Fehler in der Programmbibliothek "quartz.dll" zurück, die für das Abspielen von Quicktime-Filmen in Windows Media Player benötigt wird. Betroffen sind alle DirectX-Versionen bis einschließlich 9.0c. Windows Vista, Server 2008 sowie Windows 7 sind nicht betroffen, die anfällige DLL ist nicht mehr Teil dieser Betriebssystemversionen.

Das von Microsoft im Blog des Malware Protection Center skizzierte Angriffsszenario beginnt mit der Vorbereitung einer Web-Seite, die eine mit Exploit-Code präparierte AVI-Datei lädt. Potenzielle Opfer werden nun auf diese Seite gelockt, etwa per Mail oder durch Suchmaschinenoptimierung mit geeigneten Themen. Derzeit bietet sich etwa der Tod des Popstars Michael Jackson oder der Schauspielerin Farrah Fawcett an, um Besucher anzulocken.

Wird die Web-Seite im Browser geöffnet, wird auch die präparierte AVI-Datei geladen. Sie schleust ein Trojanisches Pferd ein, das Passwörter ausspionieren soll. Der Schädling schickt die abgefangenen Daten schließlich an den Angreifer, der damit versuchen wird seine Brieftasche zu füllen.

Microsofts Anti-Malware-Produkte (OneCare, Forefront, MSE) erkennen die AVI-Dateien als "Exploit:Win32/CVE-2009-1537", die damit präparierten Web-Seiten als "Exploit:JS/Mult.BM" oder "Trojan:HTML/Redirector.I" und eingeschleusten Schädlinge als "PWS:Win32/Wowsteal.AP", WTrojanDropper:Win32/Dozmot.C" sowie "TrojanSpy:Win32/Lydra.AE". Andere Antivirushersteller verwenden davon abweichende Bezeichnungen.

Ein Sicherheits-Update von Microsoft gegen die DirectShow-Lücke steht noch aus. In der Sicherheitsmitteilung 971778 nennt Microsoft Schutzmaßnahmen ("Mitigations"), namentlich die Deregistrierung der anfälligen DLL-Datei.

Quelle: Copyright (C)2008 www.pcwelt.de
Kommentare
Top-Themen
Im Laufe der Zeit füllt sich selbst die größte Festplatte mit Daten. Wir zeigen Ihnen, wie Sie wieder Ordnung schaffen ...mehr
Der Auktion von 5G-Mobilfunkfrequenzen drohen langwierige Verzögerungen. Der Netzbetreiber Vodafone stellte einen ...mehr
Apple wird bei seinen nächsten iPhone-Modellen nach Informationen eines renommierten Analysten auf den Branchentrend ...mehr
Anzeige
Anzeige
Anzeige
Gaming
Wie gewohnt geht es im Juli in Sachen Games deutlich gemütlicher zu, als im Frühjahr oder Herbst. Doch auch in den kommenden Wochen erscheinen einige vielversprechende Titel - so ...mehr
Highlights
Wir zeigen Ihnen welche Fehler Sie beim Aufladen Ihres Smartphones vermeiden sollten, damit sich die Laufzeit ihres Akkus nicht verringert!mehr
Tagtäglich werden Unmengen von Fotos, Videos und Textnachrichten über WhatsApp verschickt. Wer an seinen Chatverläufen hängt, sollte jetzt ein Backup vornehmen.mehr
Anzeige