OpenOffice Virus SB/Badbunny-A Wurm wurde direkt an Virenjäger geschickt

Das muss für die Mitarbeiter von Microsoft wie ein Geschenk des Himmels gewirkt haben. Nachdem in den letzten Monaten und Jahren zahllose Sicherheitslücken bezüglich MS Office bekannt wurden, sind heute von Sophos Details zum ersten Wurm für das kostenlose OpenOffice-Paket veröffentlicht worden. Der Wurm wirkt plattformübergreifend auf Windows, Mac und Linux-Rechner. Sophos hat aber schon beschwichtigt - die von dem Wurm ausgehende Gefahr wäre nur geringfügig. Zumal der Schädling bisher nicht verbreitet wurde, dessen Autoren zogen es vor, diesen als proof-of-concept direkt per E-Mail an die Virenjäger zu schicken.

Der Schadcode missbraucht die eingebaute StarBasic Skriptsprache im Office Suite, um Scripts in anderen Sprachen auf Festplatte speichern zu können. Der Wurm wird durch eine modifizierte Bilddatei mit dem Namen badbunny.odg aktiviert. Diese zeigt ein Bild von einem Mann im Wald im Hasenkostüm, der in der freien Natur sexuelle Handlungen ausübt. Abhängig je nach Betriebssystem soll der Wurm an unterschiedlichen Stellen zuschlagen. Bei Windows Benutzern kopiert das Makro das File drop.bad in einen Ordner des populären Chatprogramms mIRC. Danach repliziert sich das Programm an mehreren Stellen, um sein Überleben zu sichern. Bei Anwendern von Mac OS wird ein Skriptvirus mit dem Namen badbunny.rb oder badbunnya.rb kopiert. Bei Linux-Usern wird das im dortigen Bereich weit verbreitete Chatprogramm X-Chat befallen. Der Befall von mIRC bzw. X-Chat soll private Transfers via DCC ermöglichen, um auch andere Rechner zu erreichen und diese zu infizieren. In allen Fällen wird unabhängig vom Betriebssystem ein weiteres zwielichtiges Hasenbild inklusive einer leicht bekleideten Darstellerin herunter geladen und angezeigt.

Sophos wertet die Einsendung des Wurms direkt an die Virenjäger als Zeichen dafür, dass es den Machern mehr darum ging Aufmerksamkeit zu erreichen. Außer durch das Anzeigen des pornographischen Bildes gibt es für die Hacker offensichtlich bisher keine Chance, ihren Schadcode auf fremden Rechnern zu aktivieren. Den Experten von Sophos erscheint der Auftritt mit dem Hasen als zu bizarr und die entsprechende Software, die befallen werden soll, als viel zu selten. Auch wenn im Gegensatz zur Konkurrenz aus Redmond die komplette OpenOffice Suite umsonst ist und man so in Firmen und Behörden viel Geld einsparen könnte, kann die kostenlose Bürosoftware bezüglich ihrer Verbreitung nicht im Ansatz mit der kommerziellen Konkurrenz mithalten.

Im Unternehmensbereich und besonders im Mittelstand steigt zwar die Akzeptanz, da keine Lizenzgebühren oder versteckte Kosten anfallen. Trotzdem dominiert noch immer die unbegründete Furcht der Geschäftsleute, dass der Funktionsumfang des Programms für das anstehende Tagesgeschäft nicht ausreicht oder Probleme beim Konvertieren von Dokumenten entstehen könnten. Wer sich vom Gegenteil überzeugen möchte, sollte sich auf der deutschen OpenOffice.org Website eine Kopie dieser Softwarelösung besorgen.

Bezüglich des Wurms kann abschließend gesagt werden: Selbst wenn der Virus in freier Wildbahn auftauchen sollte - wer auf wie auch immer agierende Männer im rosa Hasenkostüm beziehungsweise aufs Chatten verzichten kann, braucht auch zukünftig keine Angst vor einem Befall seines Computers zu haben. Wie man sieht: Sex lässt sich nicht immer mit Erfolg verkaufen oder für seinen Zweck einsetzen.

• 1 Kommentar zum Artikel

• Das muss für die Mitarbeiter von Microsoft wie ein Geschenk des Himmels gewirkt haben. Nachdem in den letzten Monaten und Jahren zahllose Sicherheitslücken bezüglich MS Office bekannt wurden, sind heute von Sophos Details zum ersten Wurm für das kostenlose OpenOffice-Paket veröffentlicht worden. Der Wurm wirkt plattformübergreifend auf Windows, Mac und Linux-Rechner. Sophos hat aber schon beschwichtigt - die von dem Wurm ausgehende Gefahr wäre ...

  gullinews am 22.05.2007 21:48

• Wird dort nun irgendeine Schwachstelle ausgenutzt oder ist das nur ein einfaches Makro, was man ganz regulär in eine odg-Datei einbinden kann? Dann sollte nämlich beim Öffnen eine entsprechende Warnung erscheinen. In der Pressemitteilung von Sophos steht zumindest nichts von einer "modifizierten" Datei und von einer Schwachstelle ist nirgends die Rede. Amüsant übrigens in der Pressemitteilung: Zitat: the most ...

  aNtiCHrist am 22.05.2007 23:19
• [...] Diskussion lesen oder Artikel kommentieren