So beseitigen Sie die WMF-Lücke

Gegenmaßnahmen

Microsoft arbeitet derzeit an einem Patch, der laut diesem Security Bulletin am 10. Januar veröffentlicht werden soll, falls er die Qualitätsprüfung besteht. Bis dahin können ein paar Maßnahmen eine Infektion verhindern.

  • Entfernen Sie die Verknüpfung zur SHIMGVW.dll.

Microsoft hat einen Kommandozeilenbefehl veröffentlicht, mit dem Sie die Zuordnung des Fax- und Bildbetrachters zur fehlerhaften Bibliothek lösen können. Geben Sie unter Start - Ausführen folgenden Befehl ein:

regsvr32 -u %windir%\system32\shimgvw.dll

  • Installieren Sie den Behelfs-Patch.

Der IT-Experte Ilfak Guilfanov hat ein inoffizielles Update entwickelt. Dieser Patch ändert die Funktion Escape() in der GDI32.DLL. Dadurch nimmt er den WMF-Dateien die notwendige Berechtigung zum Ausführen von Befehlen. Sowohl das Internet Storm Center wie auch F-Secure raten allen Anwendern, den Software-Flicken zu installieren. Er sei von den Experten geprüft und empfohlen worden, so F-Secure. Mehr Informationen dazu finden Sie hier, eine Liste mit Download-Mirrors gibt es auf der Webseite des Autors.

  • Filtern Sie WMF-Dateien und präparierte Webseiten.

Im Firmenumfeld sollten Sie, soweit möglich, sämtliche WMF-Dateien und Zugriffe auf präparierte Webseiten mit Hilfe der Firewall filtern. Allerdings besteht dann immer noch eine Gefahr, falls Dateiendungen beispielsweise auf jpg geändert wurden. Eine Liste mit bösartigen Domains finden Sie beispielsweise im Weblog von F-Secure.

  • Halten Sie Ihre Antivirensignaturen auf dem aktuellsten Stand.

Die Antivirenhersteller bemühen sich, sämtliche Schadprogramme zu identifizieren, die sich als WMF tarnen. Da täglich mehrere Variationen auftreten, sollten Sie Ihre Signaturen mehrmals am Tag updaten.

  • Nutzen Sie einen alternativen Browser.

Alternative Browser wie Opera, Mozilla oder Firefox führen die WMF-Dateien nicht automatisch aus, sondern verlangen einen Eingriff des Nutzers. Das bringt zumindest dann einen Schutz, wenn der Anwender nicht blind auf alles klickt. Sollten Sie auf den Internet Explorer angewiesen sein, nutzen Sie ihn nur für vertrauenswürdige Webseiten.