Frische Angriffswelle via ActiveX

Und so funktioniert die Angriffsmethode nach Angaben von Symantec: Zunächst muss ein potenzielles Opfer auf eine vorbereitete Webseite gelockt werden. Mit Hilfe von Funktionen in ActiveX-Elementen zum Herunterladen und Überschreiben von Dateien gelangen die Schadprogramme auf den Rechner des Opfers. Der "Microsoft Help and Support Center Viewer" kann dann dazu missbraucht werden, die Datei auszuführen. Dazu wird eine HTML-Datei des Help-Centers mit einem Script überschrieben, das den eingeschleusten Schädling ausführt. Mittels Javascript leitet die geladene Webseite den Besucher nun auf diese lokale HTML-Datei um.

Weil das Hilfe-Center Script-Befehle im Kontext des angemeldeten Benutzers ausführen kann, können Angreifer ActiveX-Elemente ausnutzen, die nicht als "Safe for Scripting" gekennzeichnet sind, um bereits eingeschleuste Malware zu starten. Die derzeit beobachteten Angriffe setzen allerdings voraus, dass das Opfer als Administrator angemeldet ist. Da die meisten Heimanwender unter Windows XP als Benutzer mit Administratorrechten angemeldet sind, stellt dies jedoch nur eine geringe Einschränkung dar.

Die Malware-Forscher des Symantec DeepSight Threat Analysis Team haben im Security Response Blog ein Video bereitgestellt, das einen solchen Angriff demonstrieren soll.

Security-Blog von Symantec Youtube-Video des Angriffs