Suchen

Malware zielt auf alte MS-Office-Schwachstelle ab Bildschirm-Flackern weist auf Trojaner-Infektion via Powerpoint hin

Redakteur: Stephan Augsten

Cyber-Kriminelle versenden derzeit infizierte Powerpoint-Dokumente, die eine seit drei Jahren bekannte Sicherheitslücke in der Präsentationssoftware ausnutzen sollen. Dies verdeutlicht, wie wichtig es für Anwender und Unternehmen ist, auch scheinbar veraltete Security-Patches zu installieren.

Firma zum Thema

Wer diese Powerpoint-Slide sieht, hat sich einen Trojaner über die Präsentations-Software eingefangen.
Wer diese Powerpoint-Slide sieht, hat sich einen Trojaner über die Präsentations-Software eingefangen.
( Archiv: Vogel Business Media )

Malware-Autoren sind sich bewusst, dass nicht alle Endanwender und Unternehmen ihre Systeme vollständig und umgehend patchen. Doch mit dem Versand bösartiger Powerpoint-Präsentationen, die sich eine drei Jahre alte Sicherheitslücke in der Microsoft-Anwendung zunutze machen soll, erreicht das Addressieren bekannter Schwachstellen eine neue Dimension.

Bereits seit dem 21. Juni 2006 steht im Microsoft Security-Bulletin MS06-028 ein Schwachstellen-Patch bereit, den Nutzer der Powerpoint-Versionen 2000 bis 2004 für Windows und Mac installiert haben sollten. Dennoch wird die Sicherheitslücke derzeit aktiv angegriffen, schreibt der Security-Forscher Mike Wood im Blog der Sophos-Labs.

Öffnet ein Anwender eine der im Umlauf befindlichen infizierten Powerpoint-Dokumente, beginnt der Monitor kurz zu flackern. Anschließend erscheint tatsächlich eine Präsentation, das erste Slide ist hier als Anlaufbild zu sehen. Derweil wurde bereits eine Malware auf dem System angelegt, die bei Sophos als Troj/Protux-Gen bekannt ist.

Das Bildschirm-Flimmern wird laut Sophos dadurch verursacht, dass im Hintergrund die Datei Troj/ReopnPPT-A ausgeführt wird, die sämtliche laufenden Powerpoint-Prozesse beendet, den Shellcode der infizierten Präsentation entfernt und das Schadcode-freie Dokument wieder mit Powerpoint öffnet.

Abgesehen davon, dass Endanwender und Unternehmen ihre Systeme ohnehin möglichst zeitnah zum Patchday aktualisieren sollten, weist Wood auf eine neue Sicherheitsmaßnahme hin: Vor einigen Monaten hat Microsoft das OffVis-Tool veröffentlicht, das eine Analyse von Office-Dokumenten ermöglicht, bevor diese geöffnet werden.

Das OffVis-Parsing-Tool erkennt potenzielle Angriffe auf Schwachstellen in MS-Office. Weitere Informationen über die aktuellen Powerpoint-Angriffe im SophosLabs-Blog.

(ID:2040845)