F-Secures Analyse zum neuesten Windows-Trojaner

Microsoft hatte letzte Woche einen außerplanmäßigen Notfall-Patch für Windows zur Verfügung gestellt. Das Problem liegt in der Verarbeitung von RPCs, TecChannel berichtete. Kurz darauf stellten Experten einen so genannten Proof-of-Concept-Code vor, der allerdings nicht öffentlich zugänglich war. Nun haben die bösen Buben ebenfalls einen Schadcode geschrieben, der die Lücke MS08-67 ausnutzt. Laut F-Secure ist die neueste Schwachstelle ähnlich zu betrachten wie die ältere MS06-40.

Eine tiefere Analyse habe ergeben, dass die erste Version von Gimmiv um den 19. September kompiliert wurde. Ebenso handle es sich bei dem Erschaffer der ersten Version um einen unerfahrenen Programmierer. Die verschiedenen Varianten würden keine neuen Funktionen mit sich bringen, man habe lediglich Parameter getauscht. Darüber hinaus sei der Code mit Bugs übersät. Interessant sei ebenfalls, dass Gimmiv ein Selbstzerstörungsdatum beinhalte. Das neueste Beispiel würde sich am 30. November 2008 um 23.59 Uhr selbst zerstören. Bisher habe man keine andere Malware erhalten, welche die neueste Microsoft-Lücke ausnutzt. (jdo)