Vorsicht! Viren-befallene E-Mails mit angeblichen FOnLine-Absenderadressen sind gefälscht! Dabei handelt es sich in aller Regel um E-mails, die von einem infizierten PC aus automatisch versandt werden.
FORCHHEIM (ad) - Erneut schlaflose Nächte für Benutzer des WINDOWS-Betriebssystems: Eine bislang offenbar nicht identifizierte Schwachstelle in Microsofts Betriebssystem gestattet es, über ein manipuliertes Bild im sog. WMF-Format den PC mit Schadprogrammen (Spyware,Trojaner) zu infizieren. Erste Webseiten nutzen dies bereits aktiv aus: beim Aufruf einer präparierten Webseite mit dem Internet Explorer wird ein WMF-Bild geladen und - bei entsprechend konfiguriertm PC - automatisch über die Bild- und Faxanzeige angezeigt. Im Hintergrund wird währenddessen Schadcode ins System eingeschleust und mit den Rechten des Anwenders ausgeführt. Der Schadcode lädt mehrere Programmteile (sog. DLLs) nach und "verbiegt" die Startseite des Internet Explorers. Fiese Dreingabe: Er öffnet Pop-ups mit Werbung für Software, die den gerade installieren Trojaner angeblich wieder entfernen soll. Seit gestern zirkuliert auch eine angebliche Google-Mail-Grußkarte einer angeblichen "Claudia" mit einem Link auf eine verseuchte Webseite.
Für diese Sicherheitslücke steht noch kein Patch zur Verfügung, und es ist immer noch nicht restlos geklärt, worauf die Lücke beruht. Aus Sicherheitsgründen sollten Anwender daher die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen). Obwohl nur der Internet Explorer die verknüpfte Anwendung automatisch startet, sind auch Nutzer alternativer Browser potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen.
Abhilfe: Nur für erfahrene Nutzer
Microsoft hat zu der Sicherheitslücke ein eigenes "Advisory" veröffentlicht, ein Patch ist aber derzeit nicht in Aussicht. Microsoft schlägt vor, übergangsweise die verwundbare Programm-Bibliothek zu deregistrieren, damit Anwendungen sie nicht mehr aufrufen können. Dazu geben Sie in der Eingabeaufforderung (oder unter Ausführen) folgenden Befehl ein:
regsvr32 -u %windir%system32shimgvw.dll
Nach Neustart des Rechners funktionieren die Bild- und Faxanzeige und alle Programme nicht mehr, welche die verwundbare DLL verwenden. Großer Nachteil: dies gilt nicht nur für WMF-Dateien, sondern für alle Bilder, die mit diesen Programmen verknüpft sind. Wann Microsoft ein Update zur Verfügung stellt, ist nicht bekannt. Sobald dies aber installiert ist, kann der Anwender die Bibliothek wieder registrieren:
regsvr32 %windir%system32shimgvw.dll
Aktuell erkennen noch nicht alle Virenscanner den Schad-Code zuverlässig, zudem sind bereits diverse Mutationen des Originals im Umlauf. Das Ausfiltern von Dateien mit der Endung WMF macht keinen Sinn, da ein WMF-Bild auch auf die Dateiendung .JPG und .BMP enden kann: die verwundbaren Funktionen werden trotzdem erkannt und aufgerufen.
Informationen im Netz unter www.google.de/search?q=wmf+exploit
Weitere Pressemitteilungen von FOnLine e.V.