22.06.2009, 11:10 Uhr
Spammer missbrauchen PowerPoint-Lücke
Cyberkriminelle verbreiten ein Trojanisches Pferd mittels einer präparierten PowerPoint-Datei. Als Köder dient die Tragödie des AirFrance-Absturzes vom 1. Juni.
In jüngst verbreiteten Spam-Nachrichten wird behauptet, eine PowerPoint-Folie im Anhang enthalte Bilder aus der Kabine der AirFrance-Unglücksflugs 447, berichtet der Security-Experte Trend Micro. Eine weitere Variante dieser Malware-Attacke verspricht Fotos eines chinesischen Airbus-Konkurrenzflugzeugs.
Wie Adrian Labiano im Trend Micro Malware Blog meldet, kommen die Mails mit einem Betreff wie "Air France Flight 447 (crash pictures)" oder "China-made C919 to compete with Airbus, Boeing". In Anhang steckt eine manipulierte PowerPoint-Datei mit einem Namen wie "air_france_flight_447A.PPT" oder "China jumbo jet C919.ppt".
Angeblich im Internet zirkulierende Fotos aus der Kabine der abstürzenden Air-France-Maschine sind bereits als Hoax (Falschmeldung) enttarnt worden. Sie stammen aus der Fernsehserie "Lost" und wurden bereits vor Jahren einmal Kettenbrief-artig verbreitet, wie die Website Snopes.com berichtet. Den chinesischen Jumbo-Jet C919 gibt es zwar prinzipiell, mit seinem Produktionsstart ist jedoch nicht vor 2017 zu rechnen.
Die präparierten PowerPoint-Dateien nutzen eine Sicherheitslücke in nicht aktualisierten Versionen der Microsoft-Präsentations-Software aus, um ein Trojanisches Pferd auf der Festplatte abzulegen und zu starten. Gegen diese Schwachstelle haben die Redmonder beim Patch Day im Mai 2009 ein Sicherheits-Update (MS09-017) bereit gestellt. Das Trojanische Pferd, von Trend Micro als "TROJ_INJECT.AIO" bezeichnet, wird als "rsoppmod.exe" im System32-Verzeichnis von Windows abgelegt. Es startet eine versteckte Instanz des Internet Explorers und nimmt Kontakt zu einem Web-Server auf. Von dort lädt es weitere Malware herunter und installiert diese.
