Thema: IM-Würmer umgehen MSN-Blockade

[SiLæncer]

Groß- und Kleinschreibung ist manchmal auch unter Windows wichtig. So haben Malware-Programmierer einen Weg gefunden, die Blockierung von PIF-Dateien in Microsofts Instant Messenger auszutricksen.

Die Virenforscher von Kaspersky Labs berichten in ihrem Weblog über einige Würmer, die sich über Instant Messenger (IM) verbreiten, zwei davon über den MSN Messenger. Sie senden jeweils einen direkten Link auf eine PIF-Datei auf einem Web-Server.

Eigentlich sollte der MSN Messenger Mitteilungen blockieren, die den Text ".pif" enthalten. Die Nachrichten der beiden Würmer kommen jedoch ungehindert durch. Der Grund ist erschreckend banal: Der Filter im MSN-Messenger unterscheidet Groß- und Kleinschreibung. Das heißt, es werden Nachricht mit dem Text ".pif" blockiert, nicht jedoch solche mit Schreibweisen wie ".PIF", ".piF" oder ".Pif". Hier sollte Microsoft schnell nachbessern.

Die in den Mitteilungen verlinkten Dateien sind Schädlinge, die eine Reihe weiterer Malware, darunter Adware und Syware herunter laden und installieren. Dazu gehört auch der IM-Wurm " Licat.c ", der wiederum neue IM-Nachrichten versendet.

Die beiden PIF-Dateien, auf die die Würmer verlinken, sind inzwischen nicht mehr erreichbar. Zweifellos werden jedoch bald wieder neue Varianten auftauchen, die den MSN-Filter auf die beschriebene Weise umgehen. Sie sollten also beim Erhalt von IM-Nachrichten, die Links enthalten, sehr vorsichtig sein.

Quelle : www.pcwelt.de

[SiLæncer]

Nachdem Microsoft eine Unzulänglichkeit im Filter für Messenger-Mitteilungen beseitigt hat, haben die Programmierer des IM-Wurms "Licat" schnell reagiert und nutzen ein neues Schlupfloch im MSN Messenger, das den Filter gleich ganz umgeht.

Der Wurm Licat.c breitete sich zunächst über den MSN Messenger aus, indem er Links auf im Web abgelegte PIF-Dateien verschickte . Dabei machte er sich zunutze, dass der MSN-Filter zwar Nachrichten blockierte, die eine Zeichenkette ".pif" enthalten, nicht jedoch andere Schreibenweisen wie ".PIF" oder ".piF". Diesen Fehler hat Microsoft inzwischen beseitigt, wie Roel Schouwenberg im Weblog des Virenlabors von Kaspersky berichtet.

Schouwenberg berichtet nun jedoch, dass die Programmierer dieses Wurms eine andere Schwachstelle ausgemacht haben, mit deren Hilfe sie den MSN-Filter komplett umgehen können. Sie senden so genannte Offline-Nachrichten, also Mitteilungen an Benutzer, die gerade nicht online sind. Diese Möglichkeit ist neu im MSN Live Messenger (MSN Messenger .

Wie sich heraus stellte, werden Offline-Nachrichten jedoch gar nicht vom MSN-Filter erfasst. Die Täter können auf diese Weise also beliebige Mitteilungen versenden. Die Virenforscher haben bereits solche Offline-Mitteilungen abgefangen, jedoch bislang noch keinen Wurm entdeckt, der diese Nachrichten verschickt.

Offline-Nachrichten können sowohl über ein Popup-Fenster in MSN als auch per Mail zugestellt werden. In den von Kaspersky Labs beobachteten Fällen erfolgte die Zustellung per Mail. Bei Experimenten stellten Roel Schouwenberg und seine Kollegen fest, dass nur die jeweils erste Offline-Mitteilung per Mail ausgeliefert wird, alle weiteren tauchen als Popups des Instant Messengers auf.

Die Virenforscher von Kaspersky haben Microsoft über das neu entdeckte Schlupfloch informiert. Sie suchen unterdessen weiter nach dem Wurm, der diese Offline-Nachrichten verschickt.

Quelle : www.pcwelt.de