Die jüngsten Trojanischen Pferde heißen WMV-Download A und B. Und das besondere daran ist, dass sie sich in sich in scheinbar harmlosen Daten-Dateien, in dem Fall in Videos, verstecken. Die Trojaner nutzen eine Funktion des Windows Multimedia-Player aus. Dessen neuste Versionen nämlich suchen bei urheberrechtlich geschützten und deshalb verschlüsselten Dateien im Internet nach der Site, von der man die Lizenz kaufen kann, um die Dateien anzuschauen. Wenn es so läuft, wie gedacht, dann bezahlt man dort mit digitalem Kleingeld oder per Kreditkarte und kann dann den Film entschlüsseln. Es kann aber auch anders gehen, dann, wenn einer der neuen Trojaner in einen Film gepackt worden ist. Der spanische Hersteller von Antiviren-Software Panda Soft hat sie entdeckt. Jose Merchan von Pandasoft:
Die infizierten Filme sind Lizenz-geschützte Dateien im Windows-Media-Video-Format. Die Lizenz stammt vermutlich von den Firmen Overpeer und Protectedmedia. Wenn der Anwender sie abspielen will, geben die Trojaner vor, zur Web-Site zu gehen, von der man diese Lizenz erwerben kann. In Wahrheit aber leiten sie zu einer anderen Adresse um und laden von dort jede Menge Adware, Spyware und Dialer herunter.
Pikant daran: das New Yorker Unternehmen Overpeer platziert im Auftrag der US-Filmindustrie unbrauchbare Videodateien auf Tauschbörsen, um jene zu sabotieren, und benutzt dabei auch schon mal denselben Trick, den die Trojaner verwenden: Das heruntergeladene Video öffnet den Internet-Explorer und leitet den Surfer auf eine Site, auf der man Filme oder Musik käuflich erwerben kann. Für Leute, die sich kostenlos mit Videos eindecken wollten und darauf hereingefallen sind, ist das lästig. Für Leute, die auf einen der Trojaner hereingefallen sind, hingegen ist es mehr als das, für die ist es äußerst gefährlich. Über niedrige Sicherheitseinstellungen oder über Lücken im Browser können sich dann Schadprogramme einnisten, oder der arglose Surfer initiiert per Mausklick einen Download in der Absicht, eine Lizenz zu erwerben, infiziert aber statt dessen seinen Rechner. Allerdings es ist kein Bug, sondern ein Feature, das so ausgenutzt wird, um Surfer auf dubiose Sites zu locken. Es ist von Microsoft gewollt, dass der Mediaplayer den Surfer auf Websites weiterleiten kann. Jose Merchan:
Das ist kein Programmierfehler von Microsoft, der von den Trojanern ausgenützt würde. Hacker wenden jetzt einfach eine neue Methode an, um Schadprogramme zu übertragen.
In Redmond denkt man denn auch lediglich daran, das Problem durch einige Warnhinweise bei der Weiterleitung auf möglicher Weise gefährliche Web-Sites zu entschärfen. Zwei andere Sicherheitsprobleme von Windowsrechnern beim Umgang mit Multimedia-Dateien sind in jüngster Zeit noch aufgetaucht. Ende vergangenen Jahres ist bekannt geworden, dass sich schädlicher Kode in Bilder im JPEG-Format einbauen lässt. Dieses Loch hat Microsoft inzwischen gestopft und am Patchday dieses Monats ein ähnliches Problem behoben, das im Zusammenhang mit PNG-Bildern, mit Dateien im Portable-Network-Graphics-Format, aufgetaucht ist. Dabei hat es sich jeweils um so genannte Buffer overflows, also um veritable Programmierfehler in der Anzeige-Software, gehandelt. Das grundsätzliche Problem allerdings liegt darin, dass Daten und ausführbarer Kode immer stärker verschmelzen. So jedenfalls sieht es Graham Cluley vom Antivirenunternehmen Sophos:
Was man für bloße Daten hält, kann sehr wohl ausführbaren Kode enthalten, oder – wie im Fall des Mediaplayers – durch das Anzeigeprogramm dazugebracht werden, mit Web-Sites zu kommunizieren, die Schadprogramme enthalten. Wir sagen den Leuten zwar, dass sie sehr vorsichtig mit ausführbarem Kode sein sollen. Aber der steckt eben auch dort, wo man ihn nicht wahrnimmt.
Dabei dürfte es sich allerdings um eine irreversible Entwicklung handeln. Denn die Verquickung von Kode und Daten ermöglicht es, vieles zu automatisieren. Und auf diese Bequemlichkeit werden viele nicht verzichten wollen.
Die infizierten Filme sind Lizenz-geschützte Dateien im Windows-Media-Video-Format. Die Lizenz stammt vermutlich von den Firmen Overpeer und Protectedmedia. Wenn der Anwender sie abspielen will, geben die Trojaner vor, zur Web-Site zu gehen, von der man diese Lizenz erwerben kann. In Wahrheit aber leiten sie zu einer anderen Adresse um und laden von dort jede Menge Adware, Spyware und Dialer herunter.
Pikant daran: das New Yorker Unternehmen Overpeer platziert im Auftrag der US-Filmindustrie unbrauchbare Videodateien auf Tauschbörsen, um jene zu sabotieren, und benutzt dabei auch schon mal denselben Trick, den die Trojaner verwenden: Das heruntergeladene Video öffnet den Internet-Explorer und leitet den Surfer auf eine Site, auf der man Filme oder Musik käuflich erwerben kann. Für Leute, die sich kostenlos mit Videos eindecken wollten und darauf hereingefallen sind, ist das lästig. Für Leute, die auf einen der Trojaner hereingefallen sind, hingegen ist es mehr als das, für die ist es äußerst gefährlich. Über niedrige Sicherheitseinstellungen oder über Lücken im Browser können sich dann Schadprogramme einnisten, oder der arglose Surfer initiiert per Mausklick einen Download in der Absicht, eine Lizenz zu erwerben, infiziert aber statt dessen seinen Rechner. Allerdings es ist kein Bug, sondern ein Feature, das so ausgenutzt wird, um Surfer auf dubiose Sites zu locken. Es ist von Microsoft gewollt, dass der Mediaplayer den Surfer auf Websites weiterleiten kann. Jose Merchan:
Das ist kein Programmierfehler von Microsoft, der von den Trojanern ausgenützt würde. Hacker wenden jetzt einfach eine neue Methode an, um Schadprogramme zu übertragen.
In Redmond denkt man denn auch lediglich daran, das Problem durch einige Warnhinweise bei der Weiterleitung auf möglicher Weise gefährliche Web-Sites zu entschärfen. Zwei andere Sicherheitsprobleme von Windowsrechnern beim Umgang mit Multimedia-Dateien sind in jüngster Zeit noch aufgetaucht. Ende vergangenen Jahres ist bekannt geworden, dass sich schädlicher Kode in Bilder im JPEG-Format einbauen lässt. Dieses Loch hat Microsoft inzwischen gestopft und am Patchday dieses Monats ein ähnliches Problem behoben, das im Zusammenhang mit PNG-Bildern, mit Dateien im Portable-Network-Graphics-Format, aufgetaucht ist. Dabei hat es sich jeweils um so genannte Buffer overflows, also um veritable Programmierfehler in der Anzeige-Software, gehandelt. Das grundsätzliche Problem allerdings liegt darin, dass Daten und ausführbarer Kode immer stärker verschmelzen. So jedenfalls sieht es Graham Cluley vom Antivirenunternehmen Sophos:
Was man für bloße Daten hält, kann sehr wohl ausführbaren Kode enthalten, oder – wie im Fall des Mediaplayers – durch das Anzeigeprogramm dazugebracht werden, mit Web-Sites zu kommunizieren, die Schadprogramme enthalten. Wir sagen den Leuten zwar, dass sie sehr vorsichtig mit ausführbarem Kode sein sollen. Aber der steckt eben auch dort, wo man ihn nicht wahrnimmt.
Dabei dürfte es sich allerdings um eine irreversible Entwicklung handeln. Denn die Verquickung von Kode und Daten ermöglicht es, vieles zu automatisieren. Und auf diese Bequemlichkeit werden viele nicht verzichten wollen.