Duqu-Malware setzt auf Zero-Day-Lücke in Windows

Die Malware-Analysten beim Security-Unternehmen Symantec machen Fortschritte bei der Analyse des eventuellen Stuxnet-Nachfolgers "Duqu". Sie konnten jetzt herausfinden, wie der Schädling ausbreitet und auf welchem Weg es ihm gelingt, ein System zu ... mehr... Malware, Stuxnet, Zahlen, grün Bildquelle: marsmet481 / Flickr Malware, Stuxnet, Zahlen, grün Malware, Stuxnet, Zahlen, grün marsmet481 / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Eine Freundin, die in einer sehr bekannten und "hoch angesehenen" Unternehmensberatungsfirma arbeitet, wollte mich mal zu einer Party einladen. Um zu zeigen, wo genau die stattfindet, hat die wohl das gemacht, was in der Bude üblich ist: einen Screenshot vom Browser auf Google Maps gemacht und den dann in ein Microsoft Word DOC gesteckt um das dann als E-Mail Anhang zu verschicken. Also etwa von hinten durch den Rücken in den Bauch geschossen. So macht man das in einer bekannten und "hoch angesehen" Unternehmensberatungsfirma! So hätte ich das gemacht: Text E-Mail mit Link auf die Google Maps URL. Fertig. Weniger Risiko behaftet, da keine immer mit Risiko behaftete Microsoft Word DOC Datei im Spiel ist und außerdem wäre dann auch nicht nötig, das Bild umständlich aus dem E-Mail DOC Anhang rauszupopeln, schließlich ist die Microsoft Office Schadsoftware auch komplett vermeidbar. Diese kleine Begebenheit zeigt aber bestens, warum genau solche Schadsoftware munter im Umlauf ist.
 
@Feuerpferd: Und du scheinst ja trotzdem das DOC einfach geöffnet zu haben. Letztendlich braucht man ja immer noch jemanden der die entsprechende Datei empfängt bzw. öffnet. Das bloße Versenden umständlicher Word-Dokumente hat noch keinen Virus erschaffen.
 
@Mshr: Da irrst Du dich gewaltig. Ich habe genau das gemacht, was ich schrieb, habe das Bild rausgepopelt. Selbstverständlich ohne Microsoft Kram. Konnte natürlich nur noch den Kopf über das Verhalten in solchen Firmen schütteln, das sind ja Absurditäten in weiteren Absurditäten geschachtelt. Screenshot hätte sich ja auch direkt als Bild verschicken lassen. Es aber auch noch in für Windows User gefährliche Microsoft Word DOC Dateien zu verpacken ist völlig grotesk. Und der Screenshot wäre ja auch nicht sinnvoll gewesen, sondern ist einfach nur unnötig umständlich und aufwändig im Vergleich zum angeben der Google Maps URL. Aber Goldstandard in der Branche: http://youtu.be/ko5CCSomDMY
 
@Feuerpferd: Klar, ist total übertrieben aber normale Nutzer bleiben halt beim Bekannten. Nämlich MS Word. Und ob das bei der von dir verhassten Firma Standard oder nicht ist, ist ja hier erstmal unwichtig. Fakt ist, dass man natürlich "böse" Word-Dateien bauen kann, du aber zu keinem Zeitpunkt einer solchen in deinem beschriebenen Szenario ausgesetzt warst. Insofern ist das hier einfach nur irrelevant.
 
@Feuerpferd: Ja mir ist dieses Vorgehen bekannt. Einfach nur scheußlich. Als ich noch im Support tätig war, konnte ich predigen und predigen aber keiner erhörte meine Predigten.
 
Gut das ich vorher die Microsoft Dokumente im Libre-/Openoffice öffne um irgendwelche Markospielereien ggf. zu entfernen. Vielleicht hilft es auch die Teile demnächst bei google Docs zu öffnen um solchen Befall zu entgehen? Ansonsten würde mich mal interessieren wie man bei Word selbst suspekte Dokumente sicher öffnen könnte.
 
@RobCole: Man kann die Verknüpfung zur "winword.exe" mit irgendeinem "Safety"-Parameter versehen, dann werden keine Makros mehr verarbeitet, wenn man in einem so gestarteten Word eine *.doc(x) oder *.dot(x) öffnet. Außerdem kann man die Makro-Verarbeitung generell ausschalten (irgendwo in den Optionen). Man kann Microsoft Word also auch "sicher" betreiben, und daß ohne dauernden Aufwand. Blöd ist das bloß dann, wenn man, wie ich, sehr viel mit Makros, die ich überaus nützlich finde, arbeitet. Doch die generelle Regel, niemals völlig kopflos Dateien aus unbekannten, gar dubiosen Quellen zu öffnen, kann ja weiterhin nichts schaden.
 
@departure: Es geht mir eher darum, Dokumente die ich nicht eindeutig zuordnen kann mit minderer Gefahr öffnen zu können ohne gleich von einer Kompromittierung auszugehen. Und wenn ich das recht in Erinnerung habe, war die Deaktivierung der Marko-Verarbeitung kein Allheilmittel, da man dies in Word 2000/2003 dennoch umgehen und eben diese ausführen konnte. Sofern ich das jetzt nicht mit etwas anderem verwechsle.
 
@RobCole: Was Du meinst und dann doch umgangen werden konnte, war das Ausschalten der Makro-Fähigkeiten über die Optionen des Programmes. Was Du suchst, ist die erstere Variante, die ich nannte. Damit startet Word schon safe. In diesem Fall wäre das: "C:\Programme\Microsoft Office\OfficeX\winword.exe" /a /m. "X" ist hier Platzhalter für Deine MS-Office-Version. Die Parameter /a und /m verhindern das Laden von AddIns und die Standardverarbeitung der Autoexec, so daß keine Makros mehr funktionieren. Einfach als zweite Word-Verknüpfung auf den Desktop oder ins Startmenü legen, und Word-Dokumente aus unbekannten/unsicheren Quellen nur noch damit öffnen. Einziger Pferdefuß: Einfach so doppelklicken im Explorer oder auf den Mailanhang ist damit nicht möglich, die jew. fragliche Datei muß zuerst und einzig mit dem Öffnen-Dialog des sicheren Word geöffnet werden.
 
@departure: Dank dir, ich hab mir Word äußerst wenig am Hut. Daher war mir die Möglichkeit eines safe-Modus nicht bekannt. Das mit dem Doppelklick ist nicht weiter schlimm, da Word zum Anzeigen sowieso geladen werden muss. Ob mit übergebenen Parameter (Dateipfad) oder ohne ist nicht weiter von belang.
 
Wieso darf ein aus Word abgesetzter Befehl irgendetwas im Kernel ändern? Fail! Betrifft das alle Windowsversionen? Wird keine Bestätigung verlangt?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen