Neuer Quicktime-Exploit auf Myspace

Auf der Community-Site Myspace ist ein neuer Quicktime-Exploit entdeckt worden, der mit einer präparierten MOV-Datei eine dokumentierte Funktion in Quicktime ausnutzt, um ein Script auszuführen.

Der Antivirus-Hersteller McAfee warnt vor einem verdächtigen Script, das derzeit auf der Myspace-Website nach Opfern sucht. Wer sich auf eine Seite begibt, die Werbung für eine französische Musikgruppe namens "Mamasaid" macht, läuft Gefahr bespitzelt zu werden. Entdeckt hat die fragwürdige Seite Didier Stevens, der in seinem Blog darüber berichtet.

Inzwischen hat auch McAfee eine ausführliche Beschreibung des Schädlings veröffentlicht. Die Myspace-Seite der Band enthält einen eingebetteten Aufruf einer MOV-Datei, die auf einem externen Server liegt. Diese nutzt eine dokumentierte Funtionalität in Quicktime, die Apple "HREF tracks" nennt. Dabei wird in diesem Fall Javascript-Code in die MOV-Datei eingebaut, der Benutzerdaten ausspionieren soll. Das Script ermittelt den Myspace-Benutzernamen des Besuchers, weitere von ihm benutzte Profile, seine "FriendID", die gerade besuchte Seite sowie diejenige Seite, über die er auf die aktuelle Seite gelangt ist (der so genannte "Referrer"). Die gesammelten Daten werden an einen anderen Web-Server übertragen. Unklar bleibt, welchem Zweck diese Datensammlung dient.

Es handelt sich also zumindest im Moment nicht um den Versuch, auf den Rechnern der Besucher Malware zu installieren. Das Script kann jedoch jederzeit modifiziert werden, um genau dies zu tun. Es könnte zudem von anderen als Vorlage für böswilligere Aktionen als diese Variante von Stalking genutzt werden. Die MOV-Datei selbst wird derzeit nur von Symantec/Norton erkannt (als "Downloader"), das von der MOV geladene Script von McAfee als "JS/SpaceStalk" und von Symantec als "Infostealer". Andere Antivirus-Programme erkennen derzeit noch keine von beiden. (PC-Welt/mja)