MicroWorld warnt: Backdoor-Wurm zielt auf Sicherheitslücke in Microsoft Word

(openPR) Sicherheitsexperten von MicroWorld Technologies warnen vor einer neuen Variante eines Downloaders auf Trojaner-Basis der eine vorhandene Sicherheitslücke in Microsoft Word 2000 ausnutzt. Gestartet wird der Infektions-Prozess mit der Malware wenn das Opfer eine infizierte Word 2000-Datei in Windows 2000 öffnet.

Der Defekt hängt mit einem erzwungenen Memory Corruption Error in der Textverarbeitungs-Software zusammen, den sich der Trojan 'Win32.Mdropper' zu Nutze macht indem er den Wurm 'Worm.Mofeir' absetzt, wenn der Nutzer eine maligne Word-Datei öffnet, die er aus dem Internet geladen oder per eMail erhalten hat. Worm.Mofeir ist ein Netzwerk-Wurm mit Backdoor-Eigenschaften. Mofeir öffnet einen Backdoor-Zugang um eine Remote-Attacke zuzulassen und zu initiieren. Dadurch kann der Eindringling dann den endgültigen Zugriff auf das System bekommen, lädt Codes aus dem Internet herunter, startet, sendet oder löscht Dateien auf dem Wirts-Computer.

Neben dem Datei-Download erstellt der Worm.Mofeir die Registry-Einträge

"LocalSystem"="%Windows%System32clipsvr32.exe -v"
"LocalSystem"="%Windows%System32clipsvr16.exe -v"

"Viele Computerbenutzer arbeiten mit Microsoft Word. In Form von eMail-Anhängen ist es einer der am häufigsten ausgetauschten Dateitypen seit Beginn des Internets," betont Dinesh Shah, Produkt Manager bei MicroWorld. "So einige Antivirus-Programme halten Word-Dateien für harmloser als man sie eigentlich sehen sollte. Demzufolge ist es für Malware-Programmierer ungeheuer lohnend einen bösartigen Code in ein Word-Dokument einzuspeisen und damit einen Angriff in sozusagen mehren Etappen starten zu können."

Sicherheits-Update bei MicroWorld bereits verfügbar

Die Virenexperten von MicroWorld raten allen Benutzern keine Word-Anhänge von unbekannten Absendern zu öffnen, bis Microsoft einen entsprechenden Patch veröffentlicht hat, sowie ihre Viren-Signaturen permanent auf dem neuesten Stand zu halten. Benutzer der MicroWorld-Antivirus-Lösungen haben bereits automatisch in ihrem neuesten, automatisch geladenen, Update einen entsprechenden Schutz integriert.

Ähnliche Angriffe scheinen sich zu häufen

Laut MicroWorld gab es bereits im Mai 2006 einen ähnlichen Angriff durch einen Backdoor-Wurm namens Ginwui.A mittels Microsoft Word-Dateien und vor kurzem erst fand ein weiterer Wurm, Win32.Papi, seinen Weg in die Computer der Benutzer durch ein weiteres Textverarbeitungs-Programm.

Gute alte Bekannte

"Immer wieder können wir Attacken dieser Art beobachten, die eine Reihe recht populärer Software-Applikationen adressieren und benutzen. Ein besonders bemerkenswerter Aspekt dabei, dass der schädigende Code bei fast allen dieser Attacken eine große Ähnlichkeit mit bereits bekannten älteren Versionen von Computerwürmern aufweist oder aus nur geringfügig geänderten Varianten besteht, für die wir natürlich unseren Kunden bereits einen entsprechenden Schutz zur Verfügung gestellt hatten. Daher sind wir der Überzeugung, dass langfristig sogar weniger auffallende und praktisch noch nicht destruktiv wirkende Malware-Codes unbedingte Beachtung geschenkt werden soll, da man nie weiß, wann, wo und mit welchen weiteren Verknüpfungen diese Programm-Codes einmal benutzt werden", führt Mario Gunsch, Country Manager der Münchner MicroWorld Technologies GmbH aus.
Ein druckfähiges Foto zum Zitat von Mario Gunsch finden Sie hier:
http://prolog.biz/presse/microworld/img/mario_gunsch.jpg

Mit dem kostenlosen Anti-Virus Toolkit von MicroWorld steht unter ftp://ftp.microworldsystems.com/download/tools/mwav.exe jedermann ein kostenloses Identifierungs-Tool (ca. 10 MByte) zur Verfügung, das alle drei Tage von MicroWorld aktualisiert wird. Das Security-Unternehmen rät generell die Signaturen der Antivirus-Systeme stets auf dem neuesten Stand zu halten.