11550

Gezielter Angriff über neue Word-Schwachstelle

22.05.2006 | 16:32 Uhr |

Ein so genannter 0-Day-Exploit für Word sorgt derzeit für Aufregung.

Speziell präparierte Word-Dateien (*.doc) können beim Öffnen in Word ein Trojanisches Pferd ablegen. Word wird zum Absturz gebracht und danach mit einer sauberen Kopie der eben noch virulenten Datei neu gestartet. Bislang sind nur sehr wenige Angriffe dieser Art bekannt geworden. Sie konnten in einem Fall nach Asien zurückverfolgt werden.

Bei dem vom Internet Storm Center berichteten Fall handelte es sich um einen sehr gezielten Angriff auf ein einzelnes Unternehmen. Die Absender der Mail müssen über Informationen aus dem Unternehmen verfügt haben. Die Mail mit der präparierten Word-Datei im Anhang wurde an einen bestimmten Angestellten geschickt, der im Mail-Text mit Namen angesprochen wurde. Die Mail war so gestaltet, dass sie wie eine interne Mail erschienen, die Absender-Domain war der echten sehr ähnlich.

Es handelt sich hierbei nicht um Makro-Viren. Vielmehr führt die Konstruktion der Word-Dateien durch Ausnutzung eines bis dahin noch nicht bekannten Fehlers in Microsoft Word zu einem Programmabsturz. Dergleichen wird auch als "0-Day-Exploit" bezeichnet. In diesem Fall werden zwei in der Word-Datei enthaltene EXE-Dateien abgelegt, bei denen es sich um Trojanische Pferde handelt. Sie nehmen Kontakt zu einem Server im Internet auf und führen eine ausgiebige Bestandsaufnahme des befallenen Rechners durch, ermitteln etwa installierte Schutz-Software und Sicherheits-Updates.

Wirklich zuverlässige Abhilfe gibt es derzeit kaum. Verschiedene Virenscanner erkennen die bekannt gewordenen Word-Dateien bereits, teilweise auch die abgelegten Schädlinge. Alle sechs bekannten schädlichen Dateien, zwei Word-Dokumente und je zwei in diesen enthaltene Trojanische Pferde, werden derzeit nur von Bitdefender, Etrust (VET), F-Secure, Kaspersky, McAfee, Microsoft, NOD32, und Symantec erkannt.

Sicherer ist es jedoch Dateien, die auf welchem Wege auch immer herein kommen (etwa per Mail), erstmal nur mit dem bei Microsoft kostenlos erhältlichen Word-Viewer zu öffnen, der laut Microsoft nicht anfällig ist. Eine Alternative dazu ist Openoffice oder Staroffice. Ein Sicherheits-Update hat Microsoft erst für den 13. Juni in Aussicht gestellt. Die Anzahl der Fälle ist bislang sehr gering, möglicherweise steigt sie jedoch bald nach Bereitstellung eines Updates an, weil dann mehr Personen die Möglichkeit haben, den Fehler in Word zu finden und auszunutzen.

Erkennung durch Antivirus-Software:

Antivirus

DOC 1

DOC 2

EXE 1-1

AntiVir

./.

./.

TR/Spy.Delf.PV.26

Avast!

./.

./.

./.

AVG

./.

./.

./.

Bitdefender

Exploit.W97.Ginwui.Gen

Exploit.W97.Ginwui.Gen

Trojan.Agent.MC

ClamAV

./.

./.

./.

Command AV

./.

./.

./.

Dr Web

Exploit.Wordbo

Exploit.Wordbo

./.

eSafe

./.

./.

Win32.Ginwui.a

eTrust-INO

Win32/Ginwui.A!Dropper

Win32/Ginwui.A!Dropper

Win32/Ginwui.A!Trojan

eTrust-VET

Win32/Ginwui

Win32/Ginwui

Win32/Ginwui.A

Ewido

./.

./.

./.

F-Prot

./.

./.

./.

F-Secure

Trojan-Dropper.MSWord.1Table.bd

Trojan-Dropper.MSWord.1Table.bd

Backdoor.Win32.Gusi.a

Fortinet

W32/OleData!exploit

W32/OleData!exploit

./.

Ikarus

./.

./.

./.

Kaspersky

Trojan-Dropper.MSWord.1Table.bd

Trojan-Dropper.MSWord.1Table.bd

Backdoor.Win32.Ginwui.a

McAfee

Exploit-OleData.gen

Exploit-OleData.gen

BackDoor-CKB

Microsoft

TrojanDropper:Win32/Tagword.B

TrojanDropper:Win32/Tagword.A

TrojanDropper:Win32/Tagword.B

Nod32

Win32/Exploit.MSWord.1Table

Win32/Exploit.MSWord.1Table

Win32/Ginwui.A

Norman

./.

./.

./.

Panda

Trj/Multidropper.BJD

Trj/Multidropper.BJD

Bck/Gusi.A

Quickheal

./.

./.

Backdoor.Gusi.a

Sophos

./.

./.

Troj/Oscor-B

Symantec

Trojan.Mdropper.H

Trojan.Mdropper.H

Backdoor.Ginwui

Trend Micro

W97M_MDROPPER.AB

W97M_MDROPPER.AC

./.

VBA32

./.

./.

./.

Virusbuster

./.

./.

Backdoor.Gusi.A

Antivirus

EXE 1-2

EXE 2-1

EXE 2-2

AntiVir

./.

BDS/Gusi.a

./.

Avast!

./.

./.

./.

AVG

./.

./.

./.

Bitdefender

Backdoor.Ginwui.A

Backdoor.Ginwui.B

Backdoor.Ginwui.B

ClamAV

./.

./.

./.

Command AV

./.

./.

./.

Dr Web

./.

MULDROP.Trojan

MULDROP.Trojan

eSafe

./.

./.

Win32.Ginwui.b

eTrust-INO

Win32/Ginwui.A!DLL!Trojan

./.

./.

eTrust-VET

Win32/Ginwui.A

Win32/Ginwui.B

Win32/Ginwui.B

Ewido

./.

./.

./.

F-Prot

./.

./.

./.

F-Secure

Backdoor.Win32.Gusi.a

Backdoor.Win32.Gusi.a

Backdoor.Win32.Gusi.a

Fortinet

./.

./.

./.

Ikarus

./.

./.

Backdoor.Win32.Banito.Plugin.A

Kaspersky

Backdoor.Win32.Ginwui.a

Backdoor.Win32.Ginwui.a

Backdoor.Win32.Ginwui.a

McAfee

BackDoor-CKB

BackDoor-CKB

BackDoor-CKB

Microsoft

Backdoor:Win32/Tagword.B

TrojanDropper:Win32/Tagword.A

TrojanDropper:Win32/Tagword.A

Nod32

Win32/Ginwui.A

Win32/Ginwui.B

Win32/Ginwui.B

Norman

./.

./.

./.

Panda

./.

./.

Bck/Gusi.A

Quickheal

Backdoor.Ginwui.a

Backdoor.Ginwui.a

Backdoor.Gusi.a

Sophos

Troj/Oscor-B

./.

./.

Symantec

Backdoor.Ginwui

Trojan.Dropper

Backdoor.Ginwui.B

Trend Micro

./.

./.

BKDR_GINWUI.B

VBA32

./.

./.

./.

Virusbuster

Backdoor.Gusi.A

./.

Backdoor.Gusi.B


Quelle: AV-Test , Stand: 22.05.06, 10:00 Uhr

0 Kommentare zu diesem Artikel
11550