Ein Virus infiziert die Delphi-Entwicklungsumgebung. Es gibt Informationen zu kompromittierten Websites, im Handler's Diary des ISC wird berichtet, dass angeblich ein Exploit für die Schwachstellen im Windows Internet Name Service (WINS) aus Microsofts Security-Bulletin MS09-039 'in the wild' unterwegs ist. Und der Mac-Browser Camino bekommt in der kommenden Version 2 einen Schadsoftware- und Phishing-Schutz, der wie in Firefox, Safari und Google Chrome auf Googles SafeBrowsing-API basiert.

Virus infiziert Delphi

Sophos, Kaspersky und F-Secure berichten über einen Virus, der die Entwicklungsumgebung von Delphi 4.0, 5.0, 6.0 und 7.0 infiziert: Zuerst wird in source\rtl\sys\SysConsts.pas der Viruscode geschrieben, danach SysConsts.dcu mit einer Version überschrieben, die zuerst den Viruscode aufruft. Wird danach ein Programm mit der infizierten Version von SysConsts.dcu kompiliert, enthält es ebenfalls den von Sophos W32/Induc-A genannten Virus. Weiterer Schadcode ist nicht enthalten, bisher tut der Virus also nicht mehr, als dafür zu sorgen, dass alle Delphi-Umgebungen, die er erreicht, infiziert werden. Generell könnte so aber auch beliebiger anderer Schadcode verbreitet werden. Evtl. handelt es sich bei diesem Virus nur um einen Test, dem ein Virus für aktuelle Delphi-Versionen mit bösartigem Schadcode folgt.

Kompromittierte Websites

Im Handler's Diary des ISC befassen sich gleich zwei Einträge mit kompromittierten Websites: In 'Website compromises - what's happening?' berichtet Deborah Hale über 2 kompromittierte Websites, die beide das Opfer des Schädlings Gumblar wurden. Der hatte die Rechner der Website-Betreiber infiziert und deren FTP-Passwörter an die Cyberkriminellen geschickt. Die haben daraufhin die index.html-Seiten der Websites mit Code zum Verbreiten von Gumblar präpariert. Andrew Martin beschreibt so einen Angriff in seinem Blog detailliert. Im zweiten Eintrag im Handler's Diary berichtet Adrien de Beaupre über 'YAMWD: Yet Another Mass Web Defacement': Tausende bei einem Massenhoster gehostete Websites wurden defaced, nachdem ein Angreifer in eine dort gehostete Website eindringen konnte.

Gefährliche Schwachstellen vom 17.08.2009

Erfreulicherweise keine.

Carsten Eilers