Der Code in der Datei systhin.dll wird in den laufenden Prozess von svchost.exe (Generic Service Host) injiziert. Über den TCP-Port 6004 nimmt das Trojanische Pferd Kontakt zu einem Server unter der Domain der Samoa-Inseln (.as) auf. Ferner kann es eine weitere Datei namens "systanten.exe" aus dem Internet herunter laden und ausführen.
Bei Computer Associates (CA) wird die schädliche Powerpoint-Datei als "Win32/Okupok.B" geführt, bei McAfee als "BackDoor-CZL.dr" und bei Symantec. unter der Bezeichnung "Trojan.PPDropper". Die Verbreitung ist recht gering. Möglicherweise werden bald neue Varianten im Umlauf gebracht, die dann auch eine eigene Ausbreitungsfunktion enthalten könnten.
Gegen die Sicherheitslücke in Microsoft Office gibt es seit Mitte März Updates für die Versionen Office 2000 und neuer sowie für Microsoft Works. Microsoft Office 97 und ältere Versionen werden nicht mehr unterstützt. Sie könnten von der Schwachstelle ebenfalls betroffen sein. Die bei Microsoft kostenlos erhältlichen Viewer für Office-Dateien sind von der Schwachstelle nicht betroffen. (pcwelt/cm)