# WMF-Exploit tarnt sich als Google-Grußkarte



## Telekomunikacja (29 Dezember 2005)

Grüß Gott!

Nicht nur heise warnt: *"WMF-Exploit tarnt sich als Google-Grußkarte [Update]"*:


> [...] versuchen mehrere Warez-Seiten, ihre Besucher beim bloßen Aufruf der Seite über manipulierte Bilder mit Spyware zu infizieren. Seit heute morgen kursiert auch eine angebliche Google-Mail-Grußkarte von "Claudia" mit einem präparierten Link. Ein unbedachter Klick darauf öffnet eine Seite, die ein WMF-Bild nachlädt und je nach Konfiguration automatisch in der verknüpften Anwendung anzeigt. Dabei ist es zwar grundsätzlich egal, mit welchem Browser der Anwender die Seite ansurft. Der Internet Explorer öffnet aber in der Regel ein WMF-Bild ohne Nachfrage in der Bild- und Faxanzeige, was zur sofortigen Infektion führt. [...]
> 
> Nach einem Neustart funktionieren die Bild- und Faxanzeige und alle Programme nicht mehr, die die verwundbare DLL verwenden   leider gilt dies nicht nur für WMF-Dateien, sondern für alle Bilder, die mit diesen Programmen verknüpft sind. [...]
> 
> Leider erkennen aktuell noch nicht alle Virenscanner den Schad-Code zuverlässig, was auch daran liegen mag, dass schon diverse Mutationen des Originals im Umlauf sind. Auch das Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. [...]


----------



## Heiko (29 Dezember 2005)

Ach, das ist die.
Die hab ich schon mehrfach bekommen. Aber nicht nur von Claudia.


----------



## Captain Picard (1 Januar 2006)

http://www.heise.de/newsticker/meldung/67866


> Der Schadcode ist nicht direkt mit den bisherigen WMF-Exploits verwandt, sodass die bereits existierenden Viren-Signaturen womöglich nicht ansprechen. Auch von den bisherigen Exploit-Familien sind ausgefeiltere Versionen erschienen, die laut Internet Storm Center von Viren-Scannern noch nicht erkannt werden.
> 
> Die WMF-Exploits sind äußerst infektiös: Liegt die Datei einmal auf der Festplatte, genügt unter Umständen schon das Vorschaubild des Explorers, um die Schadroutine auszulösen.


----------



## advisor (18 Januar 2006)

Ein Mitarbeiter von M$ erläutert die Sicherheitslücke, und warum sie für Win9x als unkritisch eingestuft wurde:
http://blogs.technet.com/msrc/archive/2006/01/13/417431.aspx


----------



## Captain Picard (3 Februar 2006)

http://www.heise.de/newsticker/meldung/69207


> WMF-Exploit ging für 4000 US-Dollar über den Tisch
> 
> Wahrscheinlich wurde die WMF-Lücke in Windows bereits einige Zeit vor ihrer Veröffentlichung für kleinere, gezielte Attacken ausgenutzt, erklärte Jim Melnick, Mitarbeiter beim IT-Sicherheitsdienstleister iDefense gegenüber US-Medien. Man habe bereits frühere Aktivitäten auf russischen Underground-Websites beobachtet, die sich um eine Lücke bei der Verarbeitung von WMF-Bilder drehten. Offenbar versuchten mehrere rivalisierende russische Hacker-Gruppen bereits Mitte Dezember, einen Exploit für die Lücke zu verkaufen – der Preis: 4000 US-Dollar.


----------

