104510

Angriff mit präparierter Powerpoint-Datei

19.06.2009 | 16:14 Uhr |

Malware-Spammer verbreiten ein Trojanisches Pferd mittels einer präparierten Powerpoint-Datei, die eine Schwachstelle in Powerpoint ausnutzen soll. Als Köder dienen vorgebliche Fotos des Airbus-Absturzes vom 1. Juni.

Interessante Nachrichten sind immer auch ein gutes Lockmittel, um Malware zu verbreiten. Das haben Malware-Spammer schon lange erkannt und nutzen diese Masche regelmäßig. So sind in dieser Woche Mails verbreitet worden, die vorgebliche Fotos vom Absturz des Air-France-Flugs 447 am 1. Juni enthalten sollen. Eine andere Variante verspricht Bilder eines chinesischen Airbus-Konkurrenzflugzeugs.

Wie Adrian Labiano im Trend Micro Malware Blog meldet, kommen die Mails mit einem Betreff wie "Air France Flight 447 (crash pictures)" oder "China-made C919 to compete with Airbus, Boeing". In Anhang steckt eine manipulierte Powerpoint-Datei mit einem Namen wie "air_france_flight_447A.PPT" oder "China jumbo jet C919.ppt". Der Text verheißt Fotos des abgestürzten Airbus beziehungsweise des chinesischen Großflugzeugs.

Angeblich im Internet zirkulierende Fotos aus der Kabine der abstürzenden Air-France-Maschine sind bereits als Hoax (Falschmeldung) enttarnt worden. Sie stammen aus der Fernsehserie "Lost" und wurden bereits vor Jahren einmal Kettenbrief-artig verbreitet, wie die Website Snopes.com zu berichten weiß. Den chinesischen Jumbo-Jet C919 gibt es zwar prinzipiell, mit seinem Produktionsstart ist jedoch nicht vor 2017 zu rechnen.

Die PPT-Dateien sind so präpariert, dass sie eine Sicherheitslücke in nicht aktualisierten Powerpoint-Versionen ausnutzen, um ein Trojanisches Pferd auf der Festplatte abzulegen und zu starten. Gegen diese Schwachstelle hat Microsoft beim Patch Day im Mai 2009 ein Sicherheits-Update (MS09-017) bereit gestellt.

Das Trojanische Pferd, von Trend Micro als " TROJ_INJECT.AIO " bezeichnet, wird als "rsoppmod.exe" im System32-Verzeichnis von Windows abgelegt. Es startet eine versteckte Instanz des Internet Explorers und nimmt Kontakt zu einem Web-Server auf. Von dort lädt es weitere Malware herunter und installiert diese.

0 Kommentare zu diesem Artikel
104510