Home » Security News & Infos » Netsky.V und Bagle.Q nutzen Lücke im Internet Explorer aus » Themenansicht
Netsky.V und Bagle.Q nutzen Lücke im Internet Explorer aus |
||
|---|---|---|
| #0
| ||
|
18.03.2004, 16:30
Member
Beiträge: 1095 |
||
 
|
|
|
|
16.04.2004, 21:45
Moderator
 Beiträge: 6466 |
#2
Auch der Mail-Wurm Netsky.V nutz diese Lücke nun aus.
Zitat Der Mail-Wurm Netsky.V nutzt eine Lücke im Internet Explorer aus, um Windows-Systeme zu infizieren. Anders als simpel gestrickte Mass-Mailing-Würmer versteckt er sich nicht im Anhang einer E-Mail, sondern lädt den Schädlingscode von anderen infizierten Rechnern aus dem Internet nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so reicht dazu das Ansehen der Mail aus.Patch ist seit Oktober 2003 verfügbar. Näheres unter: http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-040.htm __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Bei der neuen Q-Variante des Bagle-Wurms reicht es bereits aus, eine Mail zu lesen, um sich zu infizieren. Anders als bisherige Bagle-Versionen versendet sich der Wurm nicht als Anhang einer Mail, sondern lädt sich über einen Link in der Mail selbst nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so lädt die Mail über einen versteckten Link eine HTML-Datei aus dem Internet nach. Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und in dessen Kontext auszuführen.
In der nachgeladenen HTML-Datei steckt ein Visual-Basic-Skript Q.VBS, welches den eigentlichen Wurm (directs.exe) nachlädt -- dazu sind annähernd 600 IP-Adressen voreingestellt. Von infizierten Systemen versendet sich der Wurm mit gefälschtem Absender an Empfängeradressen, die er in diversen Dateien gefunden hat, und verwendet dabei verschiedene englischsprachige Texte. Außerdem verbreitet er sich über Peer-to-Peer-Tauschbörsen. Über eine Schadroutine verfügt der Wurm nicht, eine Hintertür öffnet er nach derzeitigem Kenntnisstand nicht.
Einige Hersteller haben ihre Signaturen zum Erkennen des Wurms bereits aktualisiert. Trend Micro stuft das Risiko bereits als "medium" ein, bei NAI ist bislang nur Stufe "low" erreicht. Anwender sollten die HTML-Ansicht ihres E-Mails-Clients deaktivieren und zusätzlich das Nachladen von Inhalten abschalten. Auch sollte der Patch zum Stopfen der Lücke im Internet Explorer eingespielt werden, sofern nicht schon geschehen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.
Siehe dazu auch:
Virenwarnung von Trend Micro
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=PE_BAGLE.Q
Virenwarnung von NAI
http://vil.nai.com/vil/content/v_101108.htm
Virenwarnung von F-Secure
http://www.f-secure.com/v-descs/bagle_q.shtml
Text von Heise.de
http://www.heise.de/newsticker/meldung/45716
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware