Excel-Exploit macht Windows unsicher

Ein Trojanisches Pferd wird ausgeführt

Im Erfolgsfall provoziert das Öffnen eines derart präparierten Excel-Dokuments in Office 2007 einen Pufferüberlauf und eingeschleuster, so genannter Shellcode wird ausgeführt. Dieser legt zwei Dateien auf der Festplatte ab, eine binäre Programmdatei und eine saubere, also Exploit-freie Excel-Datei. Excel wird beendet und mit dem sauberen Dokument neu gestartet. Im für die Angreifer günstigen Fall geht das so schnell, dass der Anwender davon nichts bemerkt.

Außerdem ruft der Shellcode die als "rundll.exe" im TEMP-Verzeichnis abgelegte Programmdatei auf, ein Trojanisches Pferd. Patrick Fitzgerald von Symantec berichtet, der Binär-Code dieses Schädlings sei mit einigen Tricks verschleiert. So werde etwa paarweise Zeichenvertauschung verwendet, sodass beispielsweise der regelmäßig in EXE-Dateien enthaltene Satz "This program cannot be executed in DOS mode." als "hTsip orgmac naon tebr nui nOD Somed" erscheint. Damit soll die Entdeckung des Codes erschwert werden. Der Schädling versucht weitere schädliche Dateien von drei taiwanesischen Servern herunter zu laden.

Neben der nahe liegenden Vermeidungsstrategie Excel-Dateien unbekannter Herkunft nicht zu öffnen empfiehlt Microsoft Anwendern von Office 2003 und 2007 die Aktivierung von MOICE (Microsoft Office Isolated Conversion Environment). Dadurch werden Office-Dateien aus dem alten Binärformat vor dem Öffnen in Office in das neue, XML-basierte Dateiformat von Office 2007 konvertiert. Der Exploit-Code soll so unschädlich gemacht werden. (PC-Welt/mja)