Backdoor-Wurm zielt auf Sicherheitslücke in Microsoft Word

Ursache ist Memory Corruption Error in der Textverarbeitungssoftware

(29.09.06) - Ein neuer Downloader auf Trojaner-Basis nutzt eine vorhandene Sicherheitslücke in Microsoft Word 2000 aus. Gestartet wird der Infektionsprozess mit der Malware, wenn das Opfer eine infizierte Word 2000-Datei in Windows 2000 öffnet. Darauf weist MicroWorld hin.

Der Defekt hängt mit einem erzwungenen Memory Corruption Error in der Textverarbeitungssoftware zusammen, den sich der Trojan Win32.Mdropper zu Nutze macht indem er den Wurm Worm.Mofeir absetzt, wenn der Nutzer eine Malware-behaftete Word-Datei öffnet, die er aus dem Internet geladen oder per E-Mail erhalten hat. Worm.Mofeir ist ein Netzwerkwurm mit Backdoor-Eigen-schaften. Mofeir öffnet einen Backdoor-Zugang um eine Remote-Attacke zuzulassen und zu initiieren. Dadurch kann der Eindringling dann den endgültigen Zugriff auf das System bekommen, lädt Codes aus dem Internet herunter, startet, sendet oder löscht Dateien auf dem Wirts-Computer.

Neben dem Datei-Download erstellt der Worm.Mofeir die Registry-Einträge

"LocalSystem"="%Windows%/System32/clipsvr32.exe -v"

"LocalSystem"="%Windows%/System32/clipsvr16.exe -v"

Laut MicroWorld gab es bereits im Mai 2006 einen ähnlichen Angriff durch einen Backdoor-Wurm namens Ginwui.A mittels Microsoft Word-Dateien und vor kurzem erst fand ein weiterer Wurm, Win32.Papi, seinen Weg in die Computer der Benutzer durch ein weiteres Textverarbeitungs-Programm. (MicroWorld: ra)