Windows 2000: Trojaner kommt per BMP-Datei

Der russische Trojaner Agent verbreitet sich über eine infizierte Windows-Bitmap. Dazu nutzt er eine immer noch ungepatchte Lücke, die bereits vor drei Monaten im illegal im Web verbreiteten Windows-Quellcode entdeckt wurde.

Bei Agent handelt es sich um einen Downloader, der sich im BMP-Attachment einer E-Mail versteckt. Öffnet der Anwender dieses Bild, startet das Schadprogramm und lädt von einem externen Webserver einen Trojaner nach. Über diesen kann der Angreifer beliebige Daten abgreifen oder den infizierten Rechner als Proxy für weitere Attacken nutzen.

Der von Kaspersky Lab entdeckte Agent wurde offenbar speziell für die russische Version von Windows 2000 entworfen und infiziert andere Windows-Varianten nicht. Die vom Downloader genutzte Sicherheitslücke allerdings findet sich auf allen Windows-2000-Rechnern, auf denen noch Internet Explorer 5.0 oder 5.5 installiert ist. Erst ein Update auf Internet Explorer 6 stopft das Loch.

Ursache des Problems ist eine Schwäche in der MSHTML-Komponente imgbmp.cxx, über die sich der Stack mit beliebigen Daten aus BMP-Dateien überschreiben lässt. Diesem durch einen eklatanten Programmierfehler verursachten Bug hatte der Hacker .gta bereits Mitte Februar in den Windows-Quellcode-Komponenten entdeckt, die damals illegal im Web zirkulierten. Er warnte ausdrücklich vor den möglichen Folgen und lieferte einen Proof-of-Concept-Exploit gleich mit. Einen Patch für die betroffenen IE-Versionen hat Microsoft bis heute nicht veröffentlicht. (jlu)