Trojanische Pferde in Powerpoint-Dateien

Diskutiere Trojanische Pferde in Powerpoint-Dateien im IT-News Forum im Bereich News; Präparierte Powerpoint-Dateien nutzen eine Sicherheitslücke in Microsoft Office. http://www.pcwelt.de/imgserver/bdb/50100/50187/168x168_only_scaled.jpg Mehrere Antivirus-Hersteller berichten über ein Trojanisches Pferd, das über präparierte Powerpoint-Dateien (PPT) verbreitet wird. Diese Dateien ...


+ Antworten + Neues Thema erstellen

(Um antworten zu können, bitte registrieren oder einloggen)

Ergebnis 1 bis 1 von 1
  1. Trojanische Pferde in Powerpoint-Dateien #1
    Moderator Avatar von Eric-Cartman
    Präparierte Powerpoint-Dateien nutzen eine Sicherheitslücke in Microsoft Office.

    http://www.pcwelt.de/imgserver/bdb/50100/50187/168x168_only_scaled.jpg

    Mehrere Antivirus-Hersteller berichten über ein Trojanisches Pferd, das über präparierte Powerpoint-Dateien (PPT) verbreitet wird. Diese Dateien nutzen eine Schwachstelle in Microsoft Office aus, die im Security Bulletin MS06-012 vom 14. März 2006 behandelt wird.

    Die Powerpoint-Dateien können zum Beispiel per Mail verschickt werden. Diese Mails können den Betreff "new plan" tragen und einen Anhang namens "newplan.ppt" enthalten. Der Text der Mails beginnt mit dem Satz "The operational plan of next week has revised and respond to us". Diese Mails könnten jedoch auch mit einem beliebigen anderen Betreff und Dateinamen sowie einem völlig anderen Text eintreffen.

    Wird der Anhang in Powerpoint geöffnet, erscheint zunächst eine Grafik. Durch Ausnutzen einer Sicherheitslücke wird eine temporäre Datei mit zufälligem Namen angelegt. Diese enthält das Trojanische Pferd "Nithsys". Sie wird gestartet und legt zwei ausführbare Dateien an:

    C:\Windows\System32\wbem\wmiad apt.exe
    C:\Windows\System32\systhin.dll

    Ferner werden Einträge in der Registry vorgenommen:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft&#0 92;Windows NT\CurrentVersion\Winlogon
    shell = Explorer.exe %System%\wbem\wmiadapt.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft&#0 92;Windows\CurrentVersion\Run
    <zufälliger Name> = <Pfad zur Datei>

    Der Code in der Datei systhin.dll wird in den laufenden Prozess von svchost.exe (Generic Service Host) injiziert. Über den TCP-Port 6004 nimmt das Trojanische Pferd Kontakt zu einem Server unter der Domain der Samoa-Inseln (.as) auf. Ferner kann es eine weitere Datei namens "systanten.exe" aus dem Internet herunter laden und ausführen.

    Bei Computer Associates (CA) wird die schädliche Powerpoint-Datei als " Win32/Okupok.B " geführt, bei McAfee als " BackDoor-CZL.dr " und bei Symantec. unter der Bezeichnung " Trojan.PPDropper ". Die Verbreitung ist recht gering. Möglicherweise werden bald neue Varianten im Umlauf gebracht, die dann auch eine eigene Ausbreitungsfunktion enthalten könnten.

    Gegen die Sicherheitslücke in Microsoft Office gibt es seit Mitte März Updates für die Versionen Office 2000 und neuer sowie für Microsoft Works. Microsoft Office 97 und ältere Versionen werden nicht mehr unterstützt. Sie könnten von der Schwachstelle ebenfalls betroffen sein. Die bei Microsoft kostenlos erhältlichen Viewer für Office-Dateien sind von der Schwachstelle nicht betroffen.

    Quelle: IDG Magazine Verlag GmbH/PC-WELT

  2. Hi,

    schau dir mal diesen Ratgeber an. Dort findet man viele Hilfestellungen.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren

Ähnliche Themen zu Trojanische Pferde in Powerpoint-Dateien


  1. Banking-Malware: Trojanische Pferde zerstören Windows: http://www.winboard.org/forum/imagehosting/1376045b14d895687e.gif http://www.winboard.org/forum/imagehosting/1376049dcb3b58f879.jpg Trojanische...



  2. Halbfinale: Trojanische Pferde gegen Viren und Würmer 4:1: http://www.pcwelt.de/imgserver/bdb/51700/51703/original.jpg Im ersten Halbjahr 2006 ist der Anteil von Viren und Würmern am Malware-Aufkommen...



  3. Weniger Würmer, mehr Trojanische Pferde: http://www.pcwelt.de/imgserver/bdb/7500/7586/original.jpg Seit 2004 haben sich die Anteile am Malware-Aufkommen deutlich verschoben. Die...



  4. Trojanische Pferde nutzen neuen IE-Exploit: Die in der letzten Woche entdeckte Sicherheitslücke im Internet Explorer wird bereits eifrig genutzt. In diesem Monat wurden bereits drei neue...



  5. Trojanische Pferde: Hi, ich habe mir leider mindestens 2 Trojanische Pferde eingefangen.. Einer ist in der Datei C:&#092;Windows&#092;nem219.dll und der andere in...