Angebliche Fotos als Köder

Powerpoint-Angriff nutzt Air-France-Absturz

Aktuell versucht eine Malware, mit angeblichen Fotos das Air-France-Unglücks vom 1.Juni die User zum Öffnen einer Powerpoint-Datei zu bewegen. In der Datei verbirgt sich jedoch ein Trojaner.

Mit derselben Masche versucht auch eine Powerpoint-Datei, in der Bilder eines chinesischen Großraumflugzeugs stecken sollen, den Anwender zum Klicken zu verleiten. Wie Adrian Labiano im Trend Micro Malware Blog meldet, kommen die Mails mit einem Betreff wie "Air France Flight 447 (crash pictures)" oder "China-made C919 to compete with Airbus, Boeing". In Anhang steckt eine manipulierte Powerpoint-Datei mit einem Namen wie "air_france_flight_447A.PPT" oder "China jumbo jet C919.ppt". Der Text verheißt Fotos des abgestürzten Airbus beziehungsweise des chinesischen Großflugzeugs.

Malware-Spam mit PPT-Dateien
Malware-Spam mit PPT-Dateien

Angeblich im Internet zirkulierende Fotos aus der Kabine der abstürzenden Air-France-Maschine sind bereits als Hoax (Falschmeldung) enttarnt worden. Sie stammen aus der Fernsehserie "Lost" und wurden bereits vor Jahren einmal Kettenbrief-artig verbreitet, wie die Website Snopes.com zu berichten weiß. Den chinesischen Jumbo-Jet C919 gibt es zwar prinzipiell, mit seinem Produktionsstart ist jedoch nicht vor 2017 zu rechnen.

Die PPT-Dateien sind so präpariert, dass sie eine Sicherheitslücke in nicht aktualisierten Powerpoint-Versionen ausnutzen, um ein Trojanisches Pferd auf der Festplatte abzulegen und zu starten. Gegen diese Schwachstelle hat Microsoft beim Patch Day im Mai 2009 ein Sicherheits-Update (MS09-017) bereit gestellt.

Das Trojanische Pferd, von Trend Micro als "TROJ_INJECT.AIO" bezeichnet, wird als "rsoppmod.exe" im System32-Verzeichnis von Windows abgelegt. Es startet eine versteckte Instanz des Internet Explorers und nimmt Kontakt zu einem Web-Server auf. Von dort lädt es weitere Malware herunter und installiert diese. (PCWelt/ala)