Malware schleicht sich über Windows Media Player ein

Eine von Microsoft dokumentierte Funktionalität in ASF-Dateien erlaubt den Download beliebiger Dateien aus dem Internet. Dies wird durch die Implementierung einfacher Script-Befehle ermöglicht, die der Windows Media Player ausführt, wenn eine solche ASF-Datei geladen wird. Das Internet Storm Center berichtet über einen Fall, in dem auf diese Weise Adware herunter geladen wird.

Das eingebettete HTML-Script veranlasst den Media Player eine Instanz des Internet Explorer zu starten und letztlich eine Datei namens PLAY_MP3.EXE (knapp 100 KB) aus dem Internet zu laden. Gefährdet sind vor allen Benutzer neuerer Versionen des Windows Media Player. Nach Angabe von Microsoft im KB-Artikel 320944 ist diese Funktionalität in der Version 9 standardmäßig deaktiviert. Sie ist laut Microsoft unter anderem dazu eingeführt worden, um den Online-Erwerb von DRM-Lizenzen zu ermöglichen.

Die Ausführung von Script-Befehlen kann über den Registry-Schlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Preferences deaktiviert werden. Setzen Sie dazu die Einträge "PlayerScriptCommandsEnabled", "WebScriptCommandsEnabled" und "URLAndExitCommandsEnabled" auf den Wert "0". Falls diese Einträge nicht vorhanden sind, legen Sie sie an. Wie immer bei Registry-Änderungen sollten Sie sehr vorsichtig sein und den jeweiligen Schlüssel vorher in eine REG-Datei sichern. Microsofts KB-Artikel enthält eine Anleitung, wie Sie dann eine passende REG-Datei anlegen können, um sie in die Registry zu importieren. (PC-Welt/mja)