 0-day wmf exploit in the wild |
Willkommen, Gast ( Anmelden | Registrierung )
  |
| Gast_skep_* |
 28.12.2005, 20:22
Beitrag
#21
|
|
Gäste  |
QUOTE(Domino @ 28.12.2005, 17:03) Hast du eine funktionierende Downloadadresse ?[right][snapback]124914[/snapback][/right] h**p://www.cabbage-soup-diet.com/negative-calorie.html(Windows-User sollten die URL nur aufrufen wenn sie wissen was sie tun...) Der Beitrag wurde von skep bearbeitet: 28.12.2005, 20:23 |
 |
 
|
|
28.12.2005, 20:24
Beitrag
#22
|
|
 Schauspiel-Gott aka Kilauea  Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Ahh, Danke.
Domino -------------------- Keep the spirit alive.....
|
|
|
|
| Gast_Jens1962_* |
28.12.2005, 20:49
Beitrag
#23
|
|
Gäste |
QUOTE(Domino @ 28.12.2005, 19:58) Was passiert denn bei NIS wenn man den exploit herunterlädt ?[right][snapback]124944[/snapback][/right] Davon abgesehen wäre ich auch so stutzig geworden - weil der DL-Manager aktiv wurde. Jens |
|
|
|
|
28.12.2005, 20:52
Beitrag
#24
|
|
 Ist unverzichtbar  Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
die AV-signatur 28.dezember ist noch nicht automatisch rein daher werde ich sie glei manuell reinladen um den link damit nochmal zu testen.
ich hab obigen link gerade mal so aufgerufen und die WMF-datei wurde nur auf dem download-promt geladen , das heisst das eine bestimmte policyeinstellung hier auch schon greift . QUOTE Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "AlwaysPromptWhenDownload"=dword:00000001 sollte sich am besten gleich jeder in die registry adden damit downloadcontent grundsätzlich bei bedarf abgebrochen werden kann. @domino hier ist es  
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
|
|
28.12.2005, 20:57
Beitrag
#25
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Fein.
Wo wird er gefunden ? Im cache ? Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
28.12.2005, 21:01
Beitrag
#26
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ja
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
|
|
28.12.2005, 22:08
Beitrag
#27
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Mit welchem Browser hast du es geladen ?
Geöffnet oder gespeichert ? Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
28.12.2005, 22:14
Beitrag
#28
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ist das nicht im bild zu sehen in der oberen programmfenster-beschriftung?
 maxthon. das englische im DL-fensterchen rührt daher weil ich die IE7b1 drauf habe. Der Beitrag wurde von bond7 bearbeitet: 28.12.2005, 22:15 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
|
|
28.12.2005, 22:43
Beitrag
#29
|
|
 Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Hallo,
im avast Forum hat Global Moderator Vlk ein Video des WMF-Exploits verlinkt! http://forum.avast.com/index.php?topic=18295.0 Direktlink http://www.websensesecuritylabs.com/images...s/wmf-movie.wmv -------------------- Gruß
Internetfan1971 |
|
|
|
|
28.12.2005, 22:50
Beitrag
#30
|
|
 Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
OT
Vielleicht sollte Symantec dennoch den Taskmanager etwas erweitern. Zum Beispiel, dass direkt nach Systemstart die Virensignatur-Downloads gestartet werden. Ist bei Version 2005 zumindest nicht so.  -------------------- Yours sincerely
Uwe Kraatz |
|
|
|
|
28.12.2005, 23:12
Beitrag
#31
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Er Installiert also auch Winhound Spyware mit, und der ist auch hier aufgeführt. ( Winhound Spyware Remover)
http://www.spywarewarrior.com/rogue_anti-s...re.htm#products |
|
|
|
 29.12.2005, 09:04
Beitrag
#32
|
|
 "Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Aber achtung sehr vorsichtig sein, wenn das teil im cache gelangt und ihr
z.b. die Google Desktopsuche drauf hat, dann knallt es sofort wenn die Desktopsuche das indexieren will. Generell sollte man so etwas sowieso nur auf einem Testrechner testen.... @Bond7 Sieht so aus als haette Symantec mal einen guten Job gemacht. Warst du auch dran beteiligt?  @All Soeben wird gemeldet das auch die GDI.dll anfaellig ist und das deregistieren der SHIMGVW.DLL somit nicht unbedingt etwas bringt und andere Windows Betriebsysteme wie z.b. Win 2000 auch gefaehrdet waeren. Ausserdem sind auch andere Dateiendungen wie .EMF, .BMP, .ICO usw. moeglich. Das heisst es gibt keinerlei echtes Workaround fuer diese Luecke das wirklich 100% schuetzt. Wollen wir hoffen das niemand einen Wurm dafuer entwickelt... Der Beitrag wurde von Remover bearbeitet: 29.12.2005, 09:52 -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
|
|
29.12.2005, 09:51
Beitrag
#33
|
|
 Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.869 Mitglied seit: 25.01.2004 Wohnort: Hamburg Mitglieds-Nr.: 364 Betriebssystem: Win 11 Virenscanner: Norton 360 Firewall: Router |
QUOTE(Solution-Design @ 28.12.2005, 22:49) OT Vielleicht sollte Symantec dennoch den Taskmanager etwas erweitern. Zum Beispiel, dass direkt nach Systemstart die Virensignatur-Downloads gestartet werden. Ist bei Version 2005 zumindest nicht so. [right][snapback]124997[/snapback][/right] Wann werden die denn dann gestartet? Ich dachte das war bei NAV schon immer so, dass wenn man online geht, geprüft wird, ob Updates vorliegen? |
|
|
|
|
29.12.2005, 10:21
Beitrag
#34
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
also bei mir geht der lucomserver immer los wenn ich nach dem systemstart online gehe.
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
|
|
29.12.2005, 12:04
Beitrag
#35
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Es geht los.
Und nicht nur *.wmf ist betroffen. Das kann lustig werden. Microsoft, sieh zu das da ein Patch kommt. Domino -------------------- Keep the spirit alive.....
|
|
|
|
| Gast_Kurt W_* |
29.12.2005, 12:24
Beitrag
#36
|
|
Gäste |
So versuchen mehrere Warez-Seiten, ihre Besucher beim bloßen Aufruf der Seite über manipulierte Bilder mit Spyware zu infizieren.
Wer besucht den solche Seiten?
Der Beitrag wurde von Kurt W bearbeitet: 29.12.2005, 12:25 |
|
|
|
|
29.12.2005, 12:27
Beitrag
#37
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
QUOTE(Kurt W @ 29.12.2005, 12:23) Wer besucht den solche Seiten? [right][snapback]125062[/snapback][/right] Guck mal in der Hijackthis-Rubrik. Domino -------------------- Keep the spirit alive.....
|
|
|
|
| Gast_Faith_* |
29.12.2005, 13:03
Beitrag
#38
|
|
Gäste |
QUOTE(Kurt W @ 29.12.2005, 12:23) So versuchen mehrere Warez-Seiten, ihre Besucher beim bloßen Aufruf der Seite über manipulierte Bilder mit Spyware zu infizieren. Wer besucht den solche Seiten? [right][snapback]125062[/snapback][/right] sehr, sehr viele. ich kenne eine serial-Site, die mal von pc-welt empfohlen wurde und diese Seite drückt dir einen Trojaner auf. |
|
|
|
| Gast_zipfelklatscher_* |
29.12.2005, 13:21
Beitrag
#39
|
|
Gäste |
QUOTE(Rios @ 28.12.2005, 19:48) Nod erkennt ihn jetzt auch. http://www.nod32.ch/en/news/update.php [right][snapback]124938[/snapback][/right] Offensichtlich aber erst nach Symantec. Irgendwie scheint ESET hier derzeit etwas zu hinken. Hoffentlich verlieren die bloss nicht Symantec und Kaspersky aus den Augen. Die beiden werden immer besser. |
|
|
|
|
29.12.2005, 16:21
Beitrag
#40
|
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
QUOTE(2cool @ 28.12.2005, 13:08) Da zeigt sich doch mal wieder, wie wichtig es ist, nicht mit Admin- oder Hauptbenutzer-Rechten zu arbeiten  [right][snapback]124856[/snapback][/right] Nutzt aber in diesem Fall gar nix.  Domino -------------------- Keep the spirit alive.....
|
|
|
|
|
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 14.06.2024, 03:44 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment