Word-Makro schleust Trojanisches Pferd ein

Nachlässigkeiten bei der Pflege des Update-Stands betagter Rechner können gefährlich sein. So berichten das Internet Storm Center (ISC) und mehrere Antivirus-Hersteller über eine Spam-artig per Mail verbreitete Word-Datei, die beim Öffnen ein Trojanisches Pferd einschleust. Dabei nutzt der Programmierer eine seit fünf Jahren bekannte und gestopfte Sicherheitslücke in Word aus.

Die Mails kommen mit einem eher belanglosen Betreff wie "worth to see", "prices", "Hi", oder "Hello". Der Anhang besteht aus einer ZIP-Datei, deren Name das Wort "prices" enthält, also zum Beispiel "prices.zip", "apple_prices.zip" oder "sony_prices.zip". In der ZIP-Datei steckt ein Word-Dokument mit dem Namen "my_Notebook.doc". Dieses enthält eine Aufstellung technischer Daten zu tragbaren Computern.

Neuere Word-Versionen warnen beim Öffnen der Datei vor enthaltenen Makros, wenn die Sicherheitseinstellungen nicht manuell herab gesetzt wurden. Bei älteren, nicht mit Sicherheits-Updates gepflegten Versionen kann die Sicherheitsanfälligkeit MS01-034 ausgenutzt werden, die eine automatische Ausführung von Makros ermöglicht. Betroffen sind ungepatchte Word-Versionen von 97 bis 2002.

Funktioniert alles so, wie der Programmierer des Schädlings sich das vorgestellt hat, legt das in der Word-Datei enthaltene Makro eine Datei "C:inse_1.exe" an. Dabei handelt es sich um ein Programm zum Download weiterer Malware. Das Makro startet dieses Programm, das dann versucht, den Virus W32/Sality.R aus den Internet herunter zu laden.

Das in VBA (Visual Basic for Applications) geschriebene Makro in der Word-Datei wird bei Symantec als W97M.Kukudro.A geführt, Sophos erkennt es als "WM97/Kukudro-A", F-Secure als W97M/Kukudro.A und McAfee als W97M/Kukudro. Die Verbreitung wird als eher gering angesehen, Funktionen zur weiteren aktiven Ausbreitung des Schädlings von infizierten Rechnern aus sind nach bisherigen Erkenntnissen nicht enthalten.