Microsoft Office – drittes Exploit in zwei Monaten

Der Code wurde nur 24 Stunden nach dem letzten Patch-Day entdeckt und bedroht nun die millionenfachen Anwender der verbreiteten Präsentations-Software. Innerhalb von zwei Monaten ist dies die dritte Zero-Day-Verwundbarkeit eines Office-Produktes.

Die Sicherheitsexperten von Symantec haben die Schwachstelle nun mit einem Trojaner in Verbindung bringen können. Der Schad-Code mit dem Namen ‘Trojan.PPDropper.B’ kommt per Mail und zwar von einer Gmail-Adresse.

Die Betreffzeile der Mail, wie auch der Name der .ppt-Datei bestehen aus chinesischen Schriftzeichen. Daher vermuten die Forscher bei Symantec, dass der Virus aus dieser Region stammt und vornehmlich dort auch seine Opfer sucht.

Öffnet man den .ppt-Anhang, der mit der Mail mitgeliefert wird, installiert sich der Trojaner auf dem System und führt dann eine Reihe weiterer Schad-Codes auf dem infizierten System aus. Darunter ein Key-Logger, der sensible Daten wie Passwörter und Nutzernamen ausspioniert und sie an einen Server der Hacker übermittelt.

Doch PPDropper.B verwischt auch seine Spuren. Nachdem Key-Logger und das Back-Door-Programm ‘Backdoor.Bifrose.E’ installiert haben, überschreibt PPDropper.B die Datei aus dem Mail-Anhang mit einer sauberen Version. Dafür manipuliert der Schadcode die Datei Explorer.exe.

Microsoft hat den Exploit inzwischen bestätigt. Ein Sprecher erklärte aber, dass Angriffe ‘extrem selten’ seien. Ein Nachteil des neuen Schädlings ist, dass der Nutzer den Anhang der Mail öffnen muss. Inzwischen aber haben die meisten Anwender gelernt, dass Anhänge in Mails von unbekannten Absendern gerne böse Überraschungen bereit halten. Die Attacke lasse sich aber auch über eine manipulierte Webseite starten. Doch auch hier ist Interaktion des Nutzers nötig. Daher ist auch das Bedrohungspotential des Virus sehr niedrig, wie es im Advisory von Symantec heißt.