Trojanische Pferde in Powerpoint-Dateien

Diskutiere Trojanische Pferde in Powerpoint-Dateien im IT-News Forum im Bereich IT-News; Präparierte Powerpoint-Dateien nutzen eine Sicherheitslücke in Microsoft Office. Mehrere Antivirus-Hersteller berichten über ein Trojanisches...
#1
Eric-Cartman

Eric-Cartman

Moderator
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
37
Ort
In Windows Nr. 10
Präparierte Powerpoint-Dateien nutzen eine Sicherheitslücke in Microsoft Office.



Mehrere Antivirus-Hersteller berichten über ein Trojanisches Pferd, das über präparierte Powerpoint-Dateien (PPT) verbreitet wird. Diese Dateien nutzen eine Schwachstelle in Microsoft Office aus, die im Security Bulletin MS06-012 vom 14. März 2006 behandelt wird.

Die Powerpoint-Dateien können zum Beispiel per Mail verschickt werden. Diese Mails können den Betreff "new plan" tragen und einen Anhang namens "newplan.ppt" enthalten. Der Text der Mails beginnt mit dem Satz "The operational plan of next week has revised and respond to us". Diese Mails könnten jedoch auch mit einem beliebigen anderen Betreff und Dateinamen sowie einem völlig anderen Text eintreffen.

Wird der Anhang in Powerpoint geöffnet, erscheint zunächst eine Grafik. Durch Ausnutzen einer Sicherheitslücke wird eine temporäre Datei mit zufälligem Namen angelegt. Diese enthält das Trojanische Pferd "Nithsys". Sie wird gestartet und legt zwei ausführbare Dateien an:

C:\Windows\System32\wbem\wmiadapt.exe
C:\Windows\System32\systhin.dll

Ferner werden Einträge in der Registry vorgenommen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = Explorer.exe %System%\wbem\wmiadapt.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<zufälliger Name> = <Pfad zur Datei>

Der Code in der Datei systhin.dll wird in den laufenden Prozess von svchost.exe (Generic Service Host) injiziert. Über den TCP-Port 6004 nimmt das Trojanische Pferd Kontakt zu einem Server unter der Domain der Samoa-Inseln (.as) auf. Ferner kann es eine weitere Datei namens "systanten.exe" aus dem Internet herunter laden und ausführen.

Bei Computer Associates (CA) wird die schädliche Powerpoint-Datei als " Win32/Okupok.B " geführt, bei McAfee als " BackDoor-CZL.dr " und bei Symantec. unter der Bezeichnung " Trojan.PPDropper ". Die Verbreitung ist recht gering. Möglicherweise werden bald neue Varianten im Umlauf gebracht, die dann auch eine eigene Ausbreitungsfunktion enthalten könnten.

Gegen die Sicherheitslücke in Microsoft Office gibt es seit Mitte März Updates für die Versionen Office 2000 und neuer sowie für Microsoft Works. Microsoft Office 97 und ältere Versionen werden nicht mehr unterstützt. Sie könnten von der Schwachstelle ebenfalls betroffen sein. Die bei Microsoft kostenlos erhältlichen Viewer für Office-Dateien sind von der Schwachstelle nicht betroffen.

Quelle: IDG Magazine Verlag GmbH/PC-WELT
 
Thema:

Trojanische Pferde in Powerpoint-Dateien

Trojanische Pferde in Powerpoint-Dateien - Ähnliche Themen

  • VIRUS Trojanisches Pferd Acer Notebook

    VIRUS Trojanisches Pferd Acer Notebook: Hallo, brauch eure hilfe. Mein Notebook hat ein Trojanisches Pferd und lässt sich nicht mehr hochfahren! Antivir zeigt mir immer wieder beim...
  • GELÖST Trojanisches Pferd namens eBay.exe?

    GELÖST Trojanisches Pferd namens eBay.exe?: Vorher kam bei mir ´ne Avira-Meldung, die besagte, dass sich auf meinem PC ein Trojanisches Pferd, das sich unter dem Namen eBay.exe tarne...
  • Banking-Malware: Trojanische Pferde zerstören Windows

    Banking-Malware: Trojanische Pferde zerstören Windows: Trojanische Pferde sollen nicht nur Anmeldedaten für das Online-Banking ausspionieren. Einige beschädigen das laufende Windows-System so stark...
  • WIKI - Trojanisches Pferd

    WIKI - Trojanisches Pferd: Weiterlesen...
  • WIKI - Trojanisches Pferd

    WIKI - Trojanisches Pferd: Weiterlesen...
  • Ähnliche Themen

    Oben