E-mail Security Test

Allgemeine Information

Wie sicher sind diese Tests?
Jeder Test ist absolut sicher und stellt keine Gefahr dar. Einige Tests werden automatisch ausgeführt und demonstrieren Anfälligkeiten in Outlook und E-Mail-Client Anwendungen, die es ermöglichen, Befehle automatisch auszuführen, sobald eine E-Mail mit solchen Befehlen empfangen oder betrachtet wird. Andere Tests verlangen, dass der Endanwender eine angehängte Datei öffnet. Einige Tests erstellen bei der Ausführung eine Datei auf Ihrem Desktop mit dem Dateinamen 'Gfi-test.txt', die alle Dateiordner des C: Laufwerkes und verschiedene Netzwerkdaten wie Benutzername, Domäne und Netzwerkverbindungen enthält. In einigen Fällen wird diese Textdatei automatisch angezeigt.

Sicherheitstest für VBS Anhänge

Warum ist diese Art von Anhängen gefährlich?
VBS Dateien enthalten Programmcode, der bei Ausführung beliebige Befehle auf Ihrem Rechner ausführen kann. Das kann auch bösartiger Programmcode sein wie Vieren und Würmer. VBS, JS, EXE und andere Dateiarten, die Programmcode enthalten können, müssen daher als gefährlich betrachtet werden und dürfen den Desktop eines Rechners nicht erreichen, wo ein Anwender zum Ausführen eines Anhangs mit ausführbarem Programmcode verleitet werden kann.

Welche Viren haben diese Methode bisher genutzt?
LoveLetter oder Love Bug, AnnaKournikova und einige andere Email Würmer verwenden VBS Dateien um sich zu verbreiten und verheerenden Schaden anzurichten. In ähnlicher Weise verbreiten sich andere Würmer und Viren mit EXE und verwandten Dateierweiterungen, die es ermöglichen, Befehle auf dem Zielrechner abzusetzen.

Lesen Sie mehr über den LoveLetter Virus auf:
http://www.gfi.com/news/press.asp?release=newvirus&lcode=
und über den AnnaKournikova Wurm auf:
http://www.gfi.com/news/press.asp?release=kournikovavirus&lcode=

Wie kann ich mich davor mit GFI MailSecurity schützen?
Eine entsprechende Regel wird standardmäßig erstellt. Wenn Sie diese Regel manuell hinzufügen möchten, so gehen Sie bitte folgendermaßen vor:

In der Konfiguration von GFI MailSecurity klicken Sie auf Attachment Checking (Anhangskontrolle) im linken Fenster, klicken mit der rechten Maustaste darauf und wählen "New>Attachment Checking Rule" (Neu>Regel für Anhangskontrolle). Stellen Sie sicher, dass Sie die Dateiendungen VBS, EXE, PIF, BAT, usw. blockieren.

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
Anhänge werden normalerweise nicht automatisch ausgeführt. Viele Anwender werden jedoch sehr leicht dazu verleitet, gefährliche VBS Dateien zu öffnen und somit auszuführen. Dies wurde durch den LoveLetter Virus deutlich belegt.

Wie genau funktioniert das?
Wird eine VBS Datei erst einmal ausgeführt, so kann sie im Grunde alles tun, was auch ein Programm mithilfe von ActiveX Komponenten tun könnte.

Sicherheitstest für CLSID Dateierweiterungen

Warum ist diese Art von Anhängen gefährlich?
Anhänge, die mit einer Class ID (CLSID) Dateierweiterung enden verbergen ihre eigentliche Dateiendung, mit der sie gespeichert wurden und wie sie Internet Explorer sieht. So können gefährliche Dateiarten als harmlose Dateien wie z.B. JPG oder WAV Dateien getarnt werden. Mit dieser Methode kann bei einigen Inhaltskontrollprogramme sogar die Anhangskontrolle umgangen werden.

Welche Viren haben diese Methode bisher genutzt?
Bisher sind keine erfolgreichen Würmer oder Viren bekannt, die diese Methode verwenden um Anwender dazu zu verleiten, E-Mail-Anhänge auszuführen. Diese Methode ist jedoch durchaus anwendbar für eine derartige Nutzung und kann von Hackern dazu genutzt werden, Trojaner in ein Unternehmensnetzwerk einzuschleusen oder sie in zukünftigen Viren zu implementieren.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Aktivieren Sie in der GFI MailSecurity Konfiguration die E-Mail-Exploit Engine. Dieser Test wird als CLS-ID (ID:1) Dateierweiterung erkannt.

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
Anhänge werden normalerweise nicht automatisch ausgeführt. Viele Anwender werden jedoch sehr leicht dazu verleitet, gefährliche VBS Dateien zu öffnen und somit auszuführen. Anhänge mit einer CLSID Erweiterung können Anwender jedoch eher dazu verleiten, eine angehängte Datei zu öffnen, da die tatsächliche Dateierweiterung verborgen ist.

Wie genau funktioniert das?
Die CLSID Datei in diesem Beispiel ist eigentlich eine MDB Datei. MDB (Microsoft Datenbank) Dateien können, genau wie EXE und VBS Dateien auch, Programmcode ausführen und sollten daher als gefährlich betrachtet werden.

Sicherheitstest für MIME Header
(Nimda & Klez Test)

Warum ist diese Art von Anhängen gefährlich?
Der MIME Exploit verwendet einen veränderten MIME Header und eine IFrame Marke um Outlook Express dazu zu bringen, die angehängte VBS-Datei auszuführen. Die VBS Datei wird automatisch ausgeführt, sobald die Email geöffnet wird, was dieses Exploit bei bösartigen Absichten sehr gefährlich macht.

Welche Viren haben diese Methode bisher genutzt?
NIMDA und andere Viren haben diese Methode verwendet um sich sehr schnell zu verbreiten. Diese Methode hat sich als äußerst wirksam für die Verbreitung des Wurms per E-Mail gezeigt. Weitere Würmer, die sich dieser Anfälligkeit bedienen, sind Klez und 'BadTrans.B'.

Für weitere Informationen zu Nimda besuchen Sie bitte diese Webseiten:
http://www.gfi.com/news/press.asp?release=nimdaworm&lcode=en
und http://www.gfi.com/news/press.asp?release=mesnimdavirus&lcode=

Wie kann ich mich davor mit GFI MailSecurity schützen?
Die Exploit Engine von GFI MailSecurity erkennt und blockiert dieses Exploit als MIME Header Sicherheitslücke (ID:5).

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
Ja. Ein Wurm, der sich dieses Exploits bedient, kann automatisch ausgeführt werden. Selbst wenn die E-Mail-Client Software diese Sicherheitslücke nicht aufweist, so wird das Opfer dennoch gebeten, die angehängt Datei zu öffnen oder auszuführen, sobald sie/er die E-Mail empfängt.

Wie genau funktioniert das?
Eine Beschreibung von Microsoft zu diesem Exploit finden Sie auf:
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp

Sicherheitstest für ActiveX Komponenten
(gilt nur für IE5.x)

Warum ist diese Art von Anhängen gefährlich?
ActiveX in HTML Dokumenten kann Sicherheitsvorkehrungen unter Umständen umgehen. Anfälligkeiten in Internet Explorer und Outlook ermöglichen die Ausführung von solchem Inhalt.

Welche Viren haben diese Methode bisher genutzt?
Viren die sich dieser Sicherheitslücke bedienen verlangen normalerweise, dass man einem Link folgt.

Weiter Informationen zu VBS.Loading finden Sie unter
http://securityresponse.symantec.com/avcenter/venc/data/vbs.loding.a@mm.html

Dieses Beispiel verlangt vom Anwender nicht, dass er einem Link folgt, sondern verlässt sich darauf, dass eine IFrame Marke automatisch eine interne Instanz des Internet Explorers erstellt und auf eine Webseite zugreift, die in einer realistischen Situation infektiös wäre.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Die Email Exploit Engine von GFI MailSecurity erkennt dieses Exploit. Stellen Sie sicher, dass diese Funktion aktiviert ist. Im Fall dieses E-Mail-Sicherheitstests verwendet das Exploit eine IFrame Marke. Daher erkennt GFI MailSecurity stattdessen diese IFrame Marke.

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
Ja. Ein Wurm, der diese Sicherheitslücke ausnutzt, kann automatisch gestartet werden.

Wie genau funktioniert das?
Eine Beschreibung von Microsoft zu diesem Exploit finden Sie auf:
http://support.microsoft.com/support/kb/articles/Q275/6/09.ASP

Wenn ich diesen Test ausführe, erhalte ich eine Fehlermeldung. Woher kommt das?
Wenn ein Computer für diesen Exploit nicht anfällig ist, kann der Test nicht ausgeführt werden. Stattdessen erscheint eine JavaScript Fehlermeldung. Dies bedeutet normalerweise, dass der Rechner, auf dem der Test ausgeführt wird, dieses Sicherheitsproblem nicht aufweist.

Mein Anti-Virus Programm meldet mir, dass ich von einem Virus befallen wurde. Warum?
Anti-Virus Programme erkennen diesen Test manchmal als JS.Exception.Exploit, einer Methode, die von vielen Hackern verwendet wird, um Computer zu infizieren. Dieser Test ist jedoch harmlos und infiziert den Zielrechner NICHT. Er verwendet lediglich dieselbe Methode, die auch von Hackern benutzt wird. Wenn dieser GFI E-Mail-Sicherheitstest eine Datei mit Informationen über den ausführenden PC erstellt, so bedeutet es, dass Ihr PC nicht ausreichend geschützt ist und Hacker in Ihr Computersystem eindringen könnten.

Sicherheitstest für CLSID Dateierweiterungen
(für Outlook 2002 - XP)

Warum ist diese Art von Anhängen gefährlich?
Anhänge, die mit einer Class ID (CLSID) Dateierweiterung enden, zeigen nicht die tatsächliche Endung der Datei, wenn sie gespeichert und in Windows Explorer betrachtet werden. Diese Methode lässt gefährliche Dateiarten wie harmlose JPG oder WAV Dateien aussehen. Mir ihr kann auch die Anhangskontrolle einiger E-Mail-Inhaltskontrollprogramme umgangen werden. In solch einem Fall können sogar die von Outlook XP vorgesehenen Sicherheitsvorkehrungen umgangen werden, die einen mehrfach-geschichteten Sicherheitsansatz verwenden.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Die E-Mail-Exploit Engine von GFI MailSecurity erkennt dies gleich zweimal, da beide Exploits identifiziert werden: die CLSID Dateierweiterung und die IFrame Marke.

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
In Outlook Installationen, wo die Anhangssicherheitsfunktion nicht aktiviert ist, kann der Test automatisch starten. Diejenigen Outlook Anwender, die diese Funktion aktiviert haben oder in Outlook 2002 werden gefragt, ob sie die Datei ausführen oder speichern möchten. Viele Anwender werden sehr leicht dazu verleitet, gefährliche Dateien zu öffnen, wie dies der Wurm LoveLetter bestätigte. Anhänge mit einer CLSID Dateierweiterung verleiten die Anwender noch mehr, diese Dateien zu öffnen, da die tatsächliche Dateierweiterung nicht erkennbar ist.

Wie genau funktioniert das?
Diese Beispieldatei mit einer CLSID Dateierweiterung ist eigentlich eine HTA Datei (HTML Anwendung). HTA Dateien können Programmcode ausführen wie eine EXE oder VBS Datei und sollten daher als gefährlich betrachtet werden.

Sicherheitstest für verfälschte Dateierweiterungen
(für Outlook 2002 - XP)

Warum ist diese Art von Anhängen gefährlich?
HTA Dateien enthalten Befehle, die jedes Programm auf Ihrem Rechner ausführen können. Dazu gehört auch das Ausführen von bösartigem Programmcode wie Viren und Würmer. HTA, VBS, EXE und viele anderen Dateiarten, die Befehle ausführen können, sollten daher als gefährlich betrachtet werden und sollten nicht auf Arbeitsplatzrechner heruntergeladen werden, wo Anwender dazu verleitet werden könnten, solch einen Anhang zu öffnen. In diesem Fall würde auch die eingebaute Sicherheit von Outlook XP umgangen werden, welche eine mehrschichtige Sicherheit verwendet.

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
Dieser Test kann unter Outlook automatisch ausgeführt werden, wenn Anhangssicherheit nicht aktiviert ist. Wenn in Outlook die Einstellung für Anhangssicherheit aktiviert ist, so wird der Anwender gefragt, ob er die Datei öffnen oder speichern möchte. Viele Anwender werden leicht verleitet, gefährliche Dateien zu öffnen und damit auszuführen, wie dies der LoveLetter Wurm bewiesen hat.

Wie genau funktioniert das?
Der Test mit der verfälschten Dateierweiterung verwendet eine Windows "Funktion", die bei Dateinamen, die mit einem Punkt (.) enden, der Punkt abgeschnitten wird. Auf diese Weise kann der Anhang die in Outlook XP und möglicherweise auch in anderen E-Mail-Sicherheitsprogrammen eingebaute Anhangskontrolle umgehen. Wird der Anhang erst einmal ausgeführt, kann er im Grunde alles tun, was ein Programm auch tun könnte.

GFI Access Exploit Test

Warum ist diese Art von Anhängen gefährlich?
Dieses Beispiel ermöglicht eine automatische Ausführung von VBA (Visual Basic for Applications) Programmcode ohne jegliche Warnung, unabhängig der Sicherheitseinstellungen auf dem Zielrechner. Ein Öffnen einer E-Mail, die diese Methode verwendet, kann sehr gefährlich sein, da sie auf jedem Computer ausgeführt werden kann, wo Internet Explorer installiert ist.

Welche Viren haben diese Methode bisher genutzt?
Zur Zeit ist dieses Exploit noch neu und wurde bisher noch nicht für Viren eingesetzt. Weil jedoch eine Verwendung dieses Exploits äußerst einfach ist, kann es bei Hackern und Viren-Autoren in Zukunft sehr populär werden.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Dieses Exploit wird von der GFI MailSecurity E-Mail-Exploit Engine als IFrame innerhalb einer HTML E-Mail erkannt.

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
Ja. Ein Wurm, der diese Anfälligkeit nutzt, kann automatisch ausgeführt werden.

Wie genau funktioniert das?
Eine Beschreibung von GFI Security Labs zu diesem Exploit finden Sie auf:
http://www.gfi.com/news/press.asp?release=exploitaccessadvisory
Hier finden Sie Informationen zu dem von Microsoft veröffentlichten Patch:
http://www.microsoft.com/windows/ie/downloads/critical/q316059/default.asp

Sicherheitstest für Objekt Codebase Exploit

Warum ist diese Art von Anhängen gefährlich?
In diesem Beispiel können lokale Dateien unabhängig der Sicherheitseinstellungen des Rechners automatisch ausgeführt werden. Ein Öffnen von E-Mails, die diese Methode verwenden, kann gefährlich sein, da der Programmcode auf jedem Rechner ausgeführt wird, auf dem eine Version des Internet Explorer 6 ohne den neuesten Patch installiert ist.

Welche Viren haben diese Methode bisher genutzt?
Zur Zeit ist dieses Exploit noch neu und wurde bisher von keinem Virus verwendet. Vor Kurzem zirkulierte jedoch eine sogenannte 'Witz'-E-Mail, die dieses Exploit verwendete, um Benutzer abzumelden, sobald sie versuchten ihre E-Mails zu lesen.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Dieses Exploit wird von GFI MailSecurity E-Mail-Exploit Shield als IFrame Marke in einer HTML E-Mail erkannt.

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
Ja. Ein Wurm, der diese Anfälligkeit nutzt, kann automatisch gestartet werden.

Wie genau funktioniert das?
Das Objekt 'Codebase' zeigt meist auf die Installation einer ActiveX Komponente. Wenn 'Codebase' jedoch auf eine existierende Datei auf der Festplatte zeigt, so wird die Datei unter Umständen (wie dieser Sicherheitstest zeigt) automatisch ausgeführt. Hierzu hat Microsoft einen Patch bereitgestellt:
http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp

Sicherheitstest für 'IFrame Remote File Download'

Warum ist diese Art von Anhängen gefährlich?
Dieses Beispiel ermöglicht, dass Dateien unabhängig von den Sicherheitseinstellungen des Arbeitsplatzrechners von einem entfernten Computer per HTTP auf einen Arbeitsplatzrechner heruntergeladen werden. Nach dem Herunterladen einer Datei kann diese ausgeführt werden. Mit dieser Methode können Hacker Anhangskontrollen wie z.B. die Sicherheitseinstellungen von Outlook 2002 umgehen.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Die GFI MailSecurity E-Mail-Exploit Engine erkennt diese Methode als einen Objekt Codebase Dateiaufruf in einer HTML E-Mail.

Wird ein Wurm, der diese Methode verwendet, automatisch ausgeführt?
Dieser Test kann auf Outlook Clients automatisch aufgerufen werden, die keine Sicherheitseinstellung für Anhangskontrolle aktiviert haben. Outlook Anwender, die diese Einstellung aktiviert haben, werden gefragt, ob sie die Datei öffnen oder speichern möchten. Viele Benutzer werden sehr leicht verleitet, solche gefährlichen Dateien zu öffnen, wie dies der LoveLetter Wurm zeigte.

Wie genau funktioniert das?
Die IFrame Marke zeigt auf eine entfernte HTTP Webseite. Das bedeutet, dass für diese Methode keine Dateianhänge benötigt werden, sie aber dennoch eine Gefahr darstellt, wenn der Anwender solch eine infizierte Datei ausführt.
IFrame Marken werden nach der Installation des folgenden Patch nicht mehr zugelassen, wenn die Sicherheitseinstellung auf 'restricted security zone' gesetzt ist:
http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp

Eicar Anti-Virus Test

Warum ist diese Art von Anhängen gefährlich?
Der Eicar Test ist ein Standardtest für Anti-Virus Software. Es ist kein echter Virus, sondern lediglich ein Test-Virus.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Stellen Sie sicher, dass in der GFI MailSecurity Konfiguration das Anti-Virus Modul aktiviert ist und alle ein- und ausgehenden E-Mails scannt.

Wie genau funktioniert das?
Jede Standard Anti-Virus Engine hat eine Definition für Eicar. Dieser Test soll sicherstellen, dass der Anti-Virus Scanner ordnungsgemäß ausgeführt wird.

Sicherheitstest für fragmentierte Nachrichten

Warum ist dieser Typ des Inhalts gefährlich?
Dieser Exploit macht viele serverseitige Virusscanner-Lösungen nutzlos gegen die Viren. Ein Hacker oder ein Virus nutzt diese Schwachstelle, um die meisten Inhaltsfilter-Systeme zu überbrücken. Dieses Verhalten fordert zum Schutz gegen Viren auf.

Welche Viren machten Gebrauch von dieser Methode?
Wähernd des Schreibens des Exploits ist er neu und wurde noch nicht buntzt, um den tückischen Code zu verteilen. Dennoch, weil es sehr leicht zu Angriffen kommt, kann dieses spezielle Beispiel unter den Hackern und Virusauthoren populär werden.

Wie kann ich mich mittels GFI MailSecurity dagegen schützen ?
GFI MailSecurity E-Mail-Schild gegen Exploits erkennt es als eine "fragmentierte Nachricht".

Wird ein Wurm, der Gebrauch von dieser Methode macht, automatisch ausgeführt?
Ein Wurm, der Gebrauch von dieser Methode macht, wird nicht automatisch ausgeführt. Es wird jedoch behilflich sein, zusätzlich auf die meisten der serverseitigen Sicherheitsmaßnahmen umzuleiten.

Wie funktioniert es genau?
Eine detailierte Gutachtung über den konkreten Angriff wurde von BeyondSecurity _ [http://www.securiteam.com/securitynews/5YP0A0K8CM.html] aufgestellt. Dies funktioniert mit Outlook Express und anderen Mail-Clients, die eine Nachrichten-Fragmentierung unterstützen.

Ich habe den Test als 5 E-Mials ohne Erklärung bekommen. Was bedeutet das?
Wenn Sie den Test als 5 E-Mails oder gar keinen Test bekommen, das heißt, dass Ihr E-Mail Cilent die Mail-Defragmentierung nicht unterstützt. Die fragmentierte E-Mail, die den Virus ethält, wurde nicht auf der Client-Ebene rekonstruiert, mit der Bedeutung Ihr System ist von diesem Typ der Angriffe sicher.

Sicherheitstest für die Umgehung der Anhangskontrolle durch lange Betreff-Zeilen

Welche Viren haben diese Methode bisher genutzt?
Bisher sind keine Exploits bekannt, die auf diesem Wege böswilligen Code verbreiten. Da sich diese Methode jedoch sehr einfach einsetzen lässt, könnte sie bald von Hacken und Virenschreibern ausgenutzt werden.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Das Modul zum Schutz vor E-Mail-Exploits von GFI MailSecurity erkennt und bezeichnet diesen Exploit als “Lange Betreff-Zeile”.

Wird ein Wurm, der diese Methode verwendet, automatisch gestartet?
Normalerweise werden Anhänge nicht automatisch geöffnet. Viele Anwender sind aufgrund von Methoden wie dem “Social Engineering” jedoch leicht dazu zu bewegen, gefährliche Dateien zu öffnen. Bester Beweis ist der Wurm “LoveLetter”.

Wie funktioniert das genau?
In einigen Fällen wählen Outlook und Outlook Express für den Anhang einer E-Mail einen Namen, der der Betreff-Zeile der Nachricht entspricht und fügen dem Dateinamen dann die Erweiterung .DAT hinzu. Bei verschiedenen Versionen von Outlook und Outlook Express wird aufgrund der Kürzung von Dateinamen die Erweiterung .DAT aus dem Dateinamen entfernt, sodass ein Angreifer einen Dateinamen mit einer böswilligen Dateierweiterung verwenden kann. Die meisten Content-Checker überprüfen nur das Feld mit dem Dateinamen, um böswillige Dateitypen zu blockieren. Durch die verkürzte Darstellung des Dateinamens würde somit eine solche E-Mail die Inhaltskontrolle ungehindert passieren.

Sicherheitstest für Anhänge ohne Dateinamen

Wie kann ich mich davor mit GFI MailSecurity schützen?
Das Modul zum Schutz vor E-Mail-Exploits von GFI MailSecurity erkennt und bezeichnet diesen Exploit als “Anhang ohne Dateinamen”.

Wie funktioniert das genau?
In einigen Fällen wählen Outlook und Outlook Express für den namenlosen Anhang einer E-Mail die Dateierweiterung, die mit seinem Inhaltstyp verbunden ist. Bei "content-type: application/hta" z. B. ist dies die Erweiterung .HTA. Die meisten Content-Checker überprüfen nur Dateien, die einen Dateinamen besitzen, sodass eine angehängte unbenannte Datei die Inhaltskontrolle ungehindert passieren könnte.

Sicherheitstest für Anhänge mit langen Dateinamen

Wie kann ich mich davor mit GFI MailSecurity schützen?
Das Modul zum Schutz vor E-Mail-Exploits von GFI MailSecurity erkennt und bezeichnet diesen Exploit als “Anhang mit langem Dateinamen”.

Wie funktioniert das genau?
Nachdem eine HTA-Datei geöffnet wurde, kann diese Datei mit Hilfe von ActiveX-Komponenten beliebige Prozesse starten. Bei sehr langen Dateinamen kann es vorkommen, dass Outlook und Outlook Express nur Teile des Namens. Angreifer können diese Schwachstelle ausnutzen und Anwender vortäuschen, dass es sich beim Anhang z. B. um eine Bilddatei handelt, obwohl er tatsächlich HTA-Code enthält.

Sicherheitstest zum Popup Object Exploit

Warum ist diese Art von Anhängen gefährlich?
Bei diesem Exploit können lokale Dateien ungeachtet der Sicherheitseinstellungen auf dem Zielrechner automatisch gestartet werden. Das Öffnen einer E-Mail, bei denen diese Methode eingesetzt wird, kann bei Rechnern, auf denen eine ungepatchte Version des Internet Explorer 6 verwendet wird, mit Sicherheitsgefahren verbunden sein.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Das Modul zum Schutz vor E-Mail-Exploits von GFI MailSecurity erkennt und bezeichnet diesen Exploit als “Popup Object Exploit”.

Wird ein Wurm, der diese Methode verwendet, automatisch gestartet?
Ja, ein Wurm, der diese Sicherheitslücke ausnutzt, kann automatisch gestartet werden.

Wie funktioniert das genau?
Die Codebase verweist für gewöhnlich auf die Installation einer ActiveX-Komponente. Verweist die Codebase hingegen auf eine Datei auf der Festplatte, kann diese Datei ein einigen Fällen (wie bei diesem Sicherheitstest) automatisch ausgeführt werden. Microsoft bietet hierfür einen Patch an unter: http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp

Sicherheitstest für doppelte Dateierweiterungen

Warum ist diese Art von Anhängen gefährlich?
HTA-Dateien enthalten Befehle, deren Ausführung beliebige Prozesse auf dem Rechner starten kann. Dazu zählt auch das Starten böswilliger Programmcodes wie Viren und Würmer. Dateien mit Endungen wie HTA, VBS, oder EXE, die Programmcode auführen können, müssen daher als sicherheitsgefährdend eingestuft werden. Sie sollten nicht auf Desktop-Rechner gelangen, wo sie von ahnungslosen Anwendern geöffnet werden könnten. Bei dieser Art von Anhängen ist aufgrund der im Dateinamen verwendeten doppelten Dateierweiterung der HTA-Teil der Erweiterung weniger auffällig, weil zunächst die harmlose JPG-Erweiterung auffällt. Dies könnte Anwender zum Öffnen der Datei verleiten.

Welche Viren haben diese Methode bisher genutzt?
Diese Methode wurde bisher von verschiedenen E-Mail-Würmern/Viren genutzt – der bekannteste Wurm ist der AnnaKournikova-Wurm, der den Dateinamen "AnnaKournikova.jpg.vbs" hatte.

Wie kann ich mich davor mit GFI MailSecurity schützen?
Die Engine für E-Mail-Exploits von GFI MailSecurity identifiziert beide Exploit-Bedrohungen, die in diesem Fall gegeben sind: Missbräuchliche Dateierweiterung und IFrame Tag.

Wird ein Wurm, der diese Methode verwendet, automatisch gestartet?
Dieser Test kann auf Outlook-Clients, bei denen die Anhangskontrolle deaktiviert ist, automatisch gestartet werden. Outlook-Anwender, bei denen diese Funktion aktiviert ist, werden gefragt, ob die Datei geöffnet oder gespeichert werden soll. Viele Anwender sind sehr leicht dazu zu bewegen, gefährliche Dateien zu öffnen. Bester Beweis ist der Wurm “LoveLetter“.