# Wieder einmal eine neue Masche...



## Anonymous (7 August 2003)

Nachdem die Sache mit dem Nachrichtendienst ja schon ein alter Hut gibt es jetzt die neuesten Möglichkeiten der Spamverbreitung. Die Demo funktioniert leider wirklich, sogar mit allen aktuellen Patches des IE 6 SP 1 und restriktiven Einstellungen für die Internetzone (laut Empfehlungen von www.heise.de/ct/browsercheck)Mit dem alten Netscape 4.78 ohne JAVA oder Javascript passierte übrigens von alleine nichts.


http://news.zdnet.de/story/0,,t101-s2138469,00.html

News Security




                  Popup-Fenster in Internet Explorer ohne
                  Scripting
                  Von Jason Curtis
                  ZDNet
                  07. August 2003, 10:51 Uhr
                           Ihre Meinung zum Thema

                  "Notepad-Popups": Sicherheitsrisiko oder
                  nur lästige Werbung? 

                  Ein von ComputerBytesMan gemeldeter
                  Design-Fehler in Microsofts Internet
                  Explorer und Outlook ermöglicht das Öffnen
                  von so genannten "Notepad-Popups":
                  Unabhängig von den im Browser oder
                  Mail-Client eingestellten Sicherheitsoptionen
                  können eingebettete
                  "view-source"-Anweisungen in Webseiten
                  oder HTML-E-Mails automatisch neue
                  Programmfenster öffnen. Enthält der
                  HTML-Code einer Webseite oder eines
                  E-Mails die IE-spezifische Erweiterung, wird
                  das zum Betrachten von Quelltext assoziierte
                  Programm - standardmäßig Notepad (Editor)
                  - ohne Zutun des Anwenders gestartet.

                  Spammer könnten das "Feature" zum
                  Anzeigen von Werbetexten ausnutzen, denn
                  die Mehrzahl der gängigen Popup-Blocker
                  verhindert dieses Verhalten nicht. Die
                  "view-source"-Anweisung müsste lediglich
                  mit einer URL mit entsprechenden
                  Werbeinhalten verknüpft werden.

                  Theoretisch könnte diese Methode aber auch
                  dazu missbraucht werden, um
                  Stabilitätsprobleme auf einem
                  Windows-System zu verursachen. Enthält
                  eine HTML-Seite eine Vielzahl von
                  "view-source"-Befehlen, werden ebenso viele
                  Instanzen des Quelltext-Editors ohne
                  Rückfrage gestartet - mit den entsprechenden
                  Konsequenzen für die Speicherauslastung auf
                  dem betroffenen System.

                  Auf den Seiten von ComputerBytesMan wird
                  das Problem ausführlich beschrieben.
                  IE-Anwender werden mit einem
                  Beispiel-Popup begrüßt.

http://computerbytesman.com/security/notepadpopups.htm


----------



## Der Genervte (30 September 2003)

*es geht noch besser*

Habe einen Virus von einem Betroffenen "erhalten", der besser als mein Wissensstand ist:

Egal, was für eine Dateiendung man wählt (TXT, BMP, PCX, ZIP, xxx,...), die Datei führt sich IMMER aus und installiert den Virus.


Wenn das Teil erstmal über Sourcecode aufgerufen wird.....


----------



## BenTigger (30 September 2003)

*Re: es geht noch besser*



			
				Der Genervte schrieb:
			
		

> Habe einen Virus von einem Betroffenen "erhalten", der besser als mein Wissensstand ist:
> Egal, was für eine Dateiendung man wählt (TXT, BMP, PCX, ZIP, xxx,...), die Datei führt sich IMMER aus und installiert den Virus.
> Wenn das Teil erstmal über Sourcecode aufgerufen wird.....



Dies liegt aber eher an deinen Einstellungen im System.
Du hast bestimmt im Explorer die Einstellung "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" aktiviert.

Dann wird ein Virus.exe nur als Virus angezeigt.

Dies ist dann ein Trick der Versender, da diese Einstellung Systemstandart ist, die Datei dann Virus.txt oder virus.bmp oder Virus.jpg zu nennen.
So siehst du eben, das ist ein Bild oder Zip oder sonstwas File.

In Wirklichkeit lautet  das dann aber Virus.jpg.EXE  oder Virus.txt.EXE
Du kannst dann den Dateinamen beliebig ändern. aber das .EXE bleibt immer erhalten, wenn du die Dateiendung ausgeblendet hast, da du nur den Namen vor dem .EXE änderst. 

Du kannst heutzutage den Dateinamen durch beliebig viele Punkte unterteilen und nur der Passus nach dem letzten Punkt ist dann der Systeminterne Hinweis auf die Anwendungsart.
So.kann.ein.dateiname.auch.lauten.exe  und wird ausgeführt, wenn das Programm lauffähig da ist 

Also schau dir den Virus mal an, indem du beim Explorer das Häkchen  bei z.B. Win 2000:
Extras/Ordneroptionen/Ansicht/ 
und dann 
"Dateinamenerweiterung bei bekannten Dateitypen ausblenden" 
entfernen.


----------



## Anonymous (30 September 2003)

*Re: es geht noch besser*



			
				BenTigger schrieb:
			
		

> [Du kannst heutzutage den Dateinamen duch beliebig viele Punkte unterteilen und nur der Passus nach dem letzten Punkt ist dann der Systeminterne Hinweis auf die Anwendungsart.
> So.kann.ein.dateiname.auch.lauten.exe  und wird ausgeführt, wenn das Programm lauffähig da ist



Das konnte schon der alte Nimda ...


----------



## BenTigger (30 September 2003)

*Re: es geht noch besser*



			
				Anonymous schrieb:
			
		

> Das konnte schon der alte Nimda ...



Na dann erfreue dich weiterhin an deinem Nimda und versuche da Windows zum laufen zu bringen.


----------

