Auch der zweite Wurm, der in der vergangenen Woche besonders auffällig war, nutzt Social Engineering Techniken. Atomix.C verbreitet sich über den MSN Messenger.
Neben den beiden Würmern widmet sich der heutige Wochenbericht von Panda Software der allmonatlichen Patch-Sammlung von Microsoft.
Nurech.B lockt mit romantischen Grußkarten in Form von Anhängen in E-Mail Nachrichten. „Happy Valentine’s Day“ oder „Valentine’s Day Dance“ dienen dem Wurm als Betreffzeilen, „Greetings Postcard.exe“ und „Postcard.exe“ als Namen für die angehangene Datei und ein weiblicher Name als Absender. Die ausführbare Datei im Anhang – als Grußkarte getarnt – enthält keine Liebesbotschaft, sondern den Wurm.
Dank seiner Rootkit-Funktionalitäten sowie der Fähigkeit Sicherheits-Tools zu deaktivieren, schafft es Nurech.B oftmals unentdeckt zu bleiben und Kopien seines Codes unbemerkt auf dem befallenen System zu hinterlassen.
Die proaktiven TruPrevent Technologien von Panda Software konnten den Wurm anhand einer Verhaltensanalyse erkennen und eine Infizierung verhindern.
Atomix.C hingegen ist relativ einfach zu erkennen. Wenn der Wurm sich in das System eingeschlichen hat, erscheint eine Fehlermeldung. Um eine Identifizierung zu vermeiden, nutzt Atomix.C jedoch eine raffinierte Methode: Nach dem Erscheinen der Fehlermeldung, zeigt er eine weitere Meldung an, die den Anwender über die Präsenz eines Virus in Kenntnis setzt und ihm gleichzeitig einen kostenfreien Patch-Download über eine bestimmte Website empfiehlt. Tatsächlich lädt der User jedoch ein Update des Wurms herunter.
Atomix.C kombiniert Social Engineering Techniken mit einer Verbreitungsmethode via MSN Messenger, um schnell und effektiv eine große Anzahl von Computern zu erreichen. Dazu fügt er einen Link mit einer entsprechenden Nachricht (z.B. „Download this postcard“) in aktive, dem User vertraute Verbindungen ein.
Mit dem Patch-Day von Microsoft am vergangenen Dienstag wurden 20 Sicherheitslücken mit zwölf Patches in verschiedenen Anwendungen behoben. Eine davon betrifft das neue Vista Betriebssystem. Beseitigt wurde eine Sicherheitsanfälligkeit im Antivirusmodul, die OneCare, Defender und weitere Antivirusclients betrifft und eine Remote-Ausführung ermöglicht. Die meisten Bulletins richten sich an Office 2000 Nutzer. Sieben davon wurden als kritisch klassifiziert: Fünf in Word 2000 sowie jeweils eine in PowerPoint und in Excel. Zwei weitere Updates beheben Schwachstellen in Office.
Eine weitere kritische Sicherheitslücke wurde mit einem kumulativen Sicherheitsupdate geschlossen: Mehrere Patches, die ein früheres Sicherheits-Update ersetzen, beheben drei Schwachstellen im Internet Explorer 5.01, 6 und 7.
Aufgrund einer veröffentlichten Anleitung zur Ausnutzung der Sicherheitslücke in Komponenten des Microsoft Data Access Dienstes (MDAC) auf mehreren Websites, wurde diese als besonders gefährlich bewertet und am Patch-Day ausgebessert. Ebenso kritisch war die Anfälligkeit in HTML Help ActiveX Control. Das Modul wird verwendet, um z.B. Navigations-Elemente in HTML-Hilfeseiten im Internet Explorer einzublenden. Beide Sicherheitslücken ermöglichen einem Angreifer das System fernzusteuern.
Die restlichen Schwachstellen wurden als wichtig klassifiziert. Sowohl die Anfälligkeit in Windows-Shell, einer graphischen Bedienungsoberfläche, als auch die Anfälligkeit in Windows Image Acquisition Service, der die Verwendung von Scannern und Digitalkameras unterstützt, können eine Erweiterung der Berechtigung ermöglichen.
Die Sicherheitslücken im interaktiven Training „Step-by-Step“ von Microsoft Windows Press, in Windows OLE Dialog, in Microsoft Foundation Classes und in Microsoft RichEdit ermöglichen alle eine Code-Remote-Ausführung und wurden ebenso am Patch-Day behoben.
Alle Sicherheits-Bulletins von Microsoft können unter folgendem Link herunter geladen werden: http://www.microsoft.com/...