240315

Neue Sicherheitslücke in alter Software

04.09.2006 | 15:32 Uhr |

Eine bislang nicht bekannte Schwachstelle in Office 2000 wird zum Einschleusen von Malware genutzt.

In den letzten Monaten wurden etliche Sicherheitslücken in aktuellen Versionen von Microsoft Office entdeckt, die das Einschleusen von beliebigen Programmen, also auch Malware ermöglichen. Nun hat der Antivirus-Hersteller Symantec eine solche Schwachstelle in Office 2000 entdeckt.

Die Anfälligkeit besteht in Word 2000 und kann ausgenutzt werden, um mit speziell präparierten Word-Dokumenten ein Trojanisches Pferd einzuschleusen. Symantec berichtet über Word-Dateien, die einen Schädling namens " Trojan.MDropper.Q " enthalten. Dieser legt eine EXE-Datei an, die wiederum bei Ausführung weitere Dateien anlegt. Diese heißen "clipbook.exe" und "clipbook.dll" und werden von Symantec als Variante von " Backdoor.Femo " erkannt.

Dieser Schädling legt einen Dienst namens "Clipbook" an. Falls bereits ein solcher Dienst installiert ist, ersetzt er den vorhandenen. Der Programm-Code der Datei clipbook.dll wird unter Windows NT, 2000 und XP in den laufenden Prozess von lsass.exe (lokaler Sicherheitsdienst) injiziert und fungiert dann als Hintertür (Backdoor).

Von Microsoft gibt es bislang keine offizielle Stellungnahme zu der Entdeckung. Sie sollten Word-Dokumente und andere Office-Dateien, die Sie per Mail erhalten, nicht ungeprüft in Word öffnen.

Erkennung der Word-Datei durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

W97M/Mdropper.Q

Avast!

---

AVG

---

BitDefender

Trojan.Mdropper.C

ClamAV

---

Command AV

---

Dr Web

---

eSafe

---

eTrust-INO

---

eTrust-VET

---

Ewido

---

F-Prot

---

F-Secure

Trojan-Dropper.MSWord.1Table.bv

Fortinet

---

Ikarus

---

Kaspersky

Trojan-Dropper.MSWord.1Table.bv

McAfee

---

Microsoft

---

Nod32

W97M/Exploit.1Table.BV trojan

Norman

---

Panda

--- (Trj/PPdropper.E)*

Quickheal

---

Sophos

---

Symantec

Trojan.Mdropper.Q

Trend Micro

TROJ_MDROPPER.BR

Una

Trojan.Spy.Win32.BZub

VBA32

---

Virusbuster

---

WebWasher

Macro.Mdropper.Q

GData AVK **

Trojan-Dropper.MSWord.1Table.bv

Quelle: AV-Test , Stand: 04.09.06, 14:30 Uhr

* noch nicht in offiziellen Updates enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

0 Kommentare zu diesem Artikel
240315