 0-day wmf exploit in the wild |
Willkommen, Gast ( Anmelden | Registrierung )
  |
| Gast_skep_* |
 28.12.2005, 10:06
Beitrag
#1
|
|
Gäste  |
Ein 0-Day Exploit der voll gepatchte WinXP (mit SP2) Systeme befallen kann, geistert nun durchs Internet. Infizieren kann man sich schon durch das ansurfen einer Webseite mit einer manipulierten Imagedatei.
Mehr dazu: http://isc.sans.org/diary.php?rss&storyid=972 http://www.f-secure.com/weblog/#00000752 |
 |
 
|
|
28.12.2005, 10:17
Beitrag
#2
|
|
 Schauspiel-Gott aka Kilauea  Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Hat der schon einen einheitlichen Namen ?
Na, der lädt ja so einiges nach.  Danke für die Info. Domino -------------------- Keep the spirit alive.....
|
|
|
|
| Gast_skep_* |
28.12.2005, 11:22
Beitrag
#3
|
|
Gäste |
Heise hats nun auch:
QUOTE Windows-Anwendern steht neues Ungemach ins Haus: Für eine bislang unbekannte Lücke in Windows ist ein Exploit aufgetaucht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert. Eine erste Seite ist auch bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schieben. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers. Zudem öffnet er Pop-ups mit Angeboten für Software, die den eben installieren Trojaner wieder entfernen soll. Quelle: http://www.heise.de/newsticker/meldung/67794
|
|
|
|
|
28.12.2005, 11:54
Beitrag
#4
|
|
 Wohnt schon fast hier  Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Moin,
Symantec erkennt den Exploit als Bloodhound.Exploit.56 http://securityresponse.symantec.com/avcen...exploit.56.html -------------------- Gruß
Internetfan1971 |
|
|
|
|
28.12.2005, 12:00
Beitrag
#5
|
|
 Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
QUOTE Bei der Analyse des manipulierten WMF-Bildes mit Virustotal fand nur der Scanner von Symantec einen Trojan-Downloader. Vorsprung durch technik oder wie das heisst. 
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
|
|
28.12.2005, 12:29
Beitrag
#6
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Kaspersky findet den auch. "exploit.Win32.Agent.t".
Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
28.12.2005, 12:33
Beitrag
#7
|
|
 Triumphator  Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
QUOTE(Domino @ 28.12.2005, 12:28) Kaspersky findet den auch. "exploit.Win32.Agent.t". Domino [right][snapback]124848[/snapback][/right] Und zwar erkannt um 9.54 Uhr  klick |
|
|
|
| Gast_2cool_* |
28.12.2005, 13:09
Beitrag
#8
|
|
Gäste |
QUOTE Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Quelle: Heise, siehe Posting von SkepDa zeigt sich doch mal wieder, wie wichtig es ist, nicht mit Admin- oder Hauptbenutzer-Rechten zu arbeiten 
|
|
|
|
|
28.12.2005, 14:10
Beitrag
#9
|
|
 "Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
QUOTE(bond7 @ 28.12.2005, 11:59) Vorsprung durch technik oder wie das heisst. [right][snapback]124841[/snapback][/right] Hier nennt man das eher....ein blindes Huhn findet auch mal ein Korn.  Davon abgesehen, helfen alternative Browser gegen diese Luecke sofern man nicht bei einem Bilddownload gleich auf JA klickt. -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
|
|
28.12.2005, 15:37
Beitrag
#10
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
So ein Mist, jetzt ist der Server mit dem exploit nicht mehr erreichbar.
Weiß jemand einen anderen ? Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
28.12.2005, 17:01
Beitrag
#11
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
-------------------- Keep the spirit alive.....
|
|
|
|
|
28.12.2005, 17:02
Beitrag
#12
|
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
@Domino
F-Secure hat noch mehr adressen in seinem Weblog drin! Das Ding scheint was ganz grosses zu werden.... -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
|
|
28.12.2005, 17:04
Beitrag
#13
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Ich finde ihn aber nicht.
Mittlerweile habe ich ihn aus dem Backup gekramt und überlege ob ich den nicht einfach selber hochlade. Hast du eine funktionierende Downloadadresse ? Nehme ich gerne, auch als PN. Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
28.12.2005, 17:07
Beitrag
#14
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Ich möchte übrigens jeden warnen damit herumzuspielen !
Man muss das Ding nicht einmal ausführen, das macht es von alleine, ich weiß zwar noch nicht warum, ist aber passiert.  Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
28.12.2005, 19:49
Beitrag
#15
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Nod erkennt ihn jetzt auch.
http://www.nod32.ch/en/news/update.php |
|
|
|
|
28.12.2005, 19:54
Beitrag
#16
|
|
 War schon oft hier Gruppe: Mitglieder Beiträge: 75 Mitglied seit: 25.01.2004 Mitglieds-Nr.: 367 Betriebssystem: Win7 Pro, Win 8.1 Pro Virenscanner: Emsisoft Anti-Malware Firewall: Windows intern |
Avast! erkennt seit dem frühen Nachmittag das Teil als "Win32:Exdown [Trj]".
Herumspielen würde ich auch nicht empfehlen... |
|
|
|
|
28.12.2005, 19:57
Beitrag
#17
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
@remover
wie du siehst versagt auch bei anderen mit der besten heuristik die glaskugel , du willst nur nicht eingestehen das eine angriffsmuster-erkennung auch was für sich hat. 
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
|
|
28.12.2005, 19:59
Beitrag
#18
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Was passiert denn bei NIS wenn man den exploit herunterlädt ?
Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
28.12.2005, 20:05
Beitrag
#19
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ich bin noch nicht dazu gekommen domino , ich weiss auch nicht wo man das jetzt findet , weisst du es ?
hatte nach der arbeit noch einiges zu tun und so. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
|
|
28.12.2005, 20:09
Beitrag
#20
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Ich schick dir eine PN.
Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 17.05.2024, 01:43 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment