Mehrere Antivirus-Hersteller berichten über ein Trojanisches Pferd, das über präparierte Powerpoint-Dateien (PPT) verbreitet wird. Diese Dateien nutzen eine Schwachstelle in Microsoft Office aus, die im Security Bulletin MS06-012 vom 14. März 2006 behandelt wird.
Die Powerpoint-Dateien können zum Beispiel per Mail verschickt werden. Diese Mails können den Betreff "new plan" tragen und einen Anhang namens "newplan.ppt" enthalten. Der Text der Mails beginnt mit dem Satz "The operational plan of next week has revised and respond to us". Diese Mails könnten jedoch auch mit einem beliebigen anderen Betreff und Dateinamen sowie einem völlig anderen Text eintreffen.
Wird der Anhang in Powerpoint geöffnet, erscheint zunächst eine Grafik. Durch Ausnutzen einer Sicherheitslücke wird eine temporäre Datei mit zufälligem Namen angelegt. Diese enthält das Trojanische Pferd "Nithsys". Sie wird gestartet und legt zwei ausführbare Dateien an:
C:\Windows\System32\wbem\wmiadapt.exe
C:\Windows\System32\systhin.dll
Ferner werden Einträge in der Registry vorgenommen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = Explorer.exe %System%\wbem\wmiadapt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<zufälliger Name> = <Pfad zur Datei>
Der Code in der Datei systhin.dll wird in den laufenden Prozess von svchost.exe (Generic Service Host) injiziert. Über den TCP-Port 6004 nimmt das Trojanische Pferd Kontakt zu einem Server unter der Domain der Samoa-Inseln (.as) auf. Ferner kann es eine weitere Datei namens "systanten.exe" aus dem Internet herunter laden und ausführen.
Bei Computer Associates (CA) wird die schädliche Powerpoint-Datei als "Win32/Okupok.B" geführt, bei McAfee als "BackDoor-CZL.dr" und bei Symantec. unter der Bezeichnung "Trojan.PPDropper". Die Verbreitung ist recht gering. Möglicherweise werden bald neue Varianten im Umlauf gebracht, die dann auch eine eigene Ausbreitungsfunktion enthalten könnten.
Gegen die Sicherheitslücke in Microsoft Office gibt es seit Mitte März Updates für die Versionen Office 2000 und neuer sowie für Microsoft Works. Microsoft Office 97 und ältere Versionen werden nicht mehr unterstützt. Sie könnten von der Schwachstelle ebenfalls betroffen sein. Die bei Microsoft kostenlos erhältlichen Viewer für Office-Dateien sind von der Schwachstelle nicht betroffen. (pcwelt/cm)