Neue ActiveX-Angriffswelle unterwegs

Bislang mussten die Verbreiter von Schädlingen ihre Opfer meist mit allerlei Tricks dazu bringen, eine schädliche Datei zu öffnen. Damit Schadprogramme ohne Benutzerhilfe ausgeführt werden, müssten sie an einer Stelle im Dateisystem abgelegt werden, wo Windows sie automatisch startet, etwa im Autostart-Ordner. Malware-Forscher des Antivirusherstellers Symantec haben nun entdeckt, dass Angreifer eine neue Methode einsetzen, um eingeschleuste Malware sofort auszuführen.

Zunächst muss ein potenzielles Opfer auf eine vorbereitete Webseite gelockt werden. Mit Hilfe von Funktionen in ActiveX-Elementen zum Herunterladen und Überschreiben von Dateien gelangen die Schadprogramme auf den Rechner des Opfers. Der "Microsoft Help and Support Center Viewer" kann dann dazu missbraucht werden, die Datei auszuführen. Dazu wird eine HTML-Datei des Help-Centers mit einem Script überschrieben, das den eingeschleusten Schädling ausführt. Mittels Javascript leitet die geladene Webseite den Besucher nun auf diese lokale HTML-Datei um. Das Video zeigt den Angriff:

Weil das Hilfe-Center Script-Befehle im Kontext des angemeldeten Benutzers ausführen kann, können Angreifer ActiveX-Elemente ausnutzen, die nicht als "Safe for Scripting" gekennzeichnet sind, um bereits eingeschleuste Malware zu starten. Die derzeit beobachteten Angriffe setzen allerdings voraus, dass das Opfer als Administrator angemeldet ist. Da die meisten Heimanwender unter Windows XP als Benutzer mit Administratorrechten angemeldet sind, stellt dies jedoch nur eine geringe Einschränkung dar.

Die Malware-Forscher des Symantec DeepSight Threat Analysis Team haben im Security Response Blog ein Video bereitgestellt, das einen solchen Angriff demonstrieren soll. (PC-Welt/mja)