Virenschutz gegen WMF-Exploit [Update]

Die Hersteller von Antiviren-Software bemühen sich nach Kräften, die Verbreitung des WMF-Exploit einzudämmen und liefern Signaturen aus, die präparierte WMF-Bilder erkennen.

In Pocket speichern vorlesen Druckansicht 201 Kommentare lesen
Lesezeit: 3 Min.

Die Hersteller von Antiviren-Software bemühen sich nach Kräften, die Verbreitung des WMF-Exploit einzudämmen und liefern Signaturen aus, die präparierte WMF-Bilder erkennen. Durch einen Fehler in der Grafik-Engine von Windows kann durch das Öffnen von WMF-Bildern fremder Code ausgeführt und beispielsweise Spyware installiert werden. Dazu genügt mit dem Internet Explorer das Öffnen einer Web-Seite, die derartig präparierte Bilder einbindet. Auch die Dateivorschau für eine bereits auf dem System befindliche Datei kann die Infektion auslösen.

Andreas Marx von AV-Test hat einen Kurztest mit 73 verschiedenen Exemplaren durchgeführt, die bereits im Internet verbreitet sind. Die Viren-Scanner von Avast!, BitDefender, ClamAV, F-Secure, Fortinet, McAfee, Nod32, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten dabei alle 73 als Sicherheitsrisiko und könnten somit eine Infektion verhindern. eTrust (VET), QuickHeal, AntiVir, Dr. Web, Kaspersky und AVG haben immerhin schon knapp über 80 Prozent identifiziert. Mit weniger als 20 erkannten Exemplaren ist die Erkennungsleistung von Command, F-Prot, Ewido, eSafe, Ikarus und VBA32 derzeit noch mangelhaft. Normans Viren-Scanner versagte in diesem Test völlig und monierte keine einzige Datei.

Wichtig ist es, den Viren-Scanner beziehungsweise -Wächter so einzustellen, dass er alle Dateien unabhängig von der Dateiendung untersucht. Denn auch wenn die Bilder eine andere Endung tragen, sich also beispielsweise als JPG-Bild tarnen, erkennt Windows den Dateityp WMF und aktiviert den verwundbaren Windows Picture and Fax Viewer. Da derzeit die meisten infektiösen Websites noch mit der Dateiendung WMF arbeiten, ist es jedoch durchaus sinnvoll, dieses Dateiformat auf Web-Proxies von Firmen vorläufig zu blockieren, auch wenn das natürlich keinen echten Schutz verspricht.

Update:
Am 31.12. 11:00 hat sich die Situation weiter gebessert: AntiVir, Avast!, BitDefender, ClamAV, Command, Dr Web, eSafe, eTrust-INO, eTrust-VET, Ewido, F-Secure, Fortinet, Kaspersky, McAfee, Nod32, Norman, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten nun alle 73 Samples. Nur die Scanner von QuickHeal (11 nicht erkannt), AVG (13), F-Prot (54), Ikarus (67) und VBA32 (67) ließen immer noch infektiöse WMF-Dateien unbeanstandet passieren, obwohl die Hersteller von AV-Test mit Samples versorgt wurden. Außerdem warnt Marx, dass offensichtlich einige der Hersteller lediglich Signaturen für die von ihm verteilten Testexemplare gebaut hätten, aber keine generische Erkennung des Exploit-Mechanismus haben.

Siehe dazu auch: (ju)