Nachdem Nurech.A als Vorbote des Valentinstagswurm eine Woche vor dem
eigentlichen Termin schon mit seinen Liebesgrüßen einen orangenen Alarm
ausgelöst hatte, erschien die zweite Nurech-Variante am Tag der Verliebten, um
als böser Liebesbote massenhaft Computer zu verseuchen.
Auch der zweite
Wurm, der in der vergangenen Woche besonders auffällig war, nutzt Social
Engineering Techniken. Atomix.C verbreitet sich über den MSN Messenger.
Neben den beiden Würmern widmet sich der heutige Wochenbericht von Panda
Software der allmonatlichen Patch-Sammlung von Microsoft.
Nurech.B lockt mit romantischen Grußkarten in Form von
Anhängen in E-Mail Nachrichten. „Happy Valentine’s Day“ oder „Valentine’s Day
Dance“ dienen dem Wurm als Betreffzeilen, „Greetings Postcard.exe“ und
„Postcard.exe“ als Namen für die angehangene Datei und ein weiblicher Name als
Absender. Die ausführbare Datei im Anhang – als Grußkarte getarnt – enthält
keine Liebesbotschaft, sondern den Wurm.
Dank seiner
Rootkit-Funktionalitäten sowie der Fähigkeit Sicherheits-Tools zu deaktivieren,
schafft es Nurech.B oftmals unentdeckt zu bleiben und Kopien seines Codes
unbemerkt auf dem befallenen System zu hinterlassen.
Die proaktiven
TruPrevent Technologien von Panda Software konnten den Wurm anhand einer
Verhaltensanalyse erkennen und eine Infizierung verhindern.
Atomix.C hingegen ist relativ einfach zu erkennen.
Wenn der Wurm sich in das System eingeschlichen hat, erscheint eine
Fehlermeldung. Um eine Identifizierung zu vermeiden, nutzt Atomix.C jedoch eine
raffinierte Methode: Nach dem Erscheinen der Fehlermeldung, zeigt er eine
weitere Meldung an, die den Anwender über die Präsenz eines Virus in Kenntnis
setzt und ihm gleichzeitig einen kostenfreien Patch-Download über eine bestimmte
Website empfiehlt. Tatsächlich lädt der User jedoch ein Update des Wurms
herunter.
Atomix.C kombiniert Social Engineering Techniken mit einer
Verbreitungsmethode via MSN Messenger, um schnell und effektiv eine große Anzahl
von Computern zu erreichen. Dazu fügt er einen Link mit einer entsprechenden
Nachricht (z.B. „Download this postcard“) in aktive, dem User vertraute
Verbindungen ein.
Mit dem Patch-Day von Microsoft am vergangenen
Dienstag wurden 20 Sicherheitslücken mit zwölf Patches in verschiedenen
Anwendungen behoben. Eine davon betrifft das neue Vista Betriebssystem.
Beseitigt wurde eine Sicherheitsanfälligkeit im Antivirusmodul, die OneCare,
Defender und weitere Antivirusclients betrifft und eine Remote-Ausführung
ermöglicht. Die meisten Bulletins richten sich an Office 2000 Nutzer. Sieben
davon wurden als kritisch klassifiziert: Fünf in Word 2000 sowie jeweils eine in
PowerPoint und in Excel. Zwei weitere Updates beheben Schwachstellen in
Office.
Eine weitere kritische Sicherheitslücke wurde mit einem
kumulativen Sicherheitsupdate geschlossen: Mehrere Patches, die ein früheres
Sicherheits-Update ersetzen, beheben drei Schwachstellen im Internet Explorer
5.01, 6 und 7.
Aufgrund einer veröffentlichten Anleitung zur Ausnutzung der
Sicherheitslücke in Komponenten des Microsoft Data Access Dienstes (MDAC) auf
mehreren Websites, wurde diese als besonders gefährlich bewertet und am
Patch-Day ausgebessert. Ebenso kritisch war die Anfälligkeit in HTML Help
ActiveX Control. Das Modul wird verwendet, um z.B. Navigations-Elemente in
HTML-Hilfeseiten im Internet Explorer einzublenden. Beide Sicherheitslücken
ermöglichen einem Angreifer das System fernzusteuern.
Die restlichen Schwachstellen wurden als wichtig
klassifiziert. Sowohl die Anfälligkeit in Windows-Shell, einer graphischen
Bedienungsoberfläche, als auch die Anfälligkeit in Windows Image Acquisition
Service, der die Verwendung von Scannern und Digitalkameras unterstützt, können
eine Erweiterung der Berechtigung ermöglichen.
Die Sicherheitslücken im interaktiven Training „Step-by-Step“
von Microsoft Windows Press, in Windows OLE Dialog, in Microsoft Foundation
Classes und in Microsoft RichEdit ermöglichen alle eine Code-Remote-Ausführung
und wurden ebenso am Patch-Day behoben.
Alle Sicherheits-Bulletins von Microsoft können unter
folgendem Link herunter geladen werden: http://www.microsoft.com/athome/security/update/bulletins/200702.mspx