OpenOffice-Wurm für Linux, Windows und MacOS

OpenOffice-Wurm für Linux, Windows und MacOS

Jörg Luther
23.05.2007

Der Antiviren-Anbieter Sophos berichtet über den ersten OpenOffice-Makro-Wurm: »BadBunny-A« befällt Installationen sowohl unter Linux als auch unter Mac OS und Windows. Allerdings hat Sophos den Schädling nicht in freier Wildbahn aufgespürt, sondern direkt von den Autoren zugeschickt bekommen. Es handelt sich also weniger um einen echten Schädling als vielmehr um eine Machbarkeitsdemonstration, neudeutsch: Proof of Concept (PoC).

BadBunny-A kommt als Starbasic-Makro in der OO-Draw-Datei badbunny.odg, funktioniert aber im Prinzip auch mit OpenOffice-Dateien anderer Anwendungen. Öffnet man die befallene Datei und startet dabei das Makro, infiziert dieses eine vorhandene Installation der IRC-Clients mIRC respektive XChat. Dazu legt der Schädling unter Linux ein Python-Skript an, bei mIRC überschreibt er die script.ini. Dies sorgt dafür, dass BadBunny-A sich via IRC weiter verbreiten kann.

Darüber hinaus legt der Wurm weitere Skripts als Dateinfektoren ab, je nach Plattform in unterschiedlicher Sprache (Linux: Perl, Mac OS: Ruby, Windows: Javascript). Zudem versucht BadBunny-A ein pornografisches Bild aus dem Internet zu laden und anzuzeigen, woher der Name des Schädlings herrührt: Das Photo zeigt einen Mann im Häschenkostüm beim Akt. Schließlich versucht BadBunny-A noch eine Ping-of-Death-Attacke gegen die Websites zahlreicher Antivirus-Anbieter.

Nach Einschätzung von Sophos handelt es sich bei BadBunny-A um einen "Schädling der alten Schule", der nicht zur tatsächlichen Verbreitung gedacht ist und bis jetzt auch offenbar nicht freigesetzt wurde. Dass die Autoren den Wurm lediglich an einen Antiviren-Anbieter eingesendet haben, deutet klar auf einen PoC hin. Allerdings schätzen die AV-Experten von Sophos die "Qualität" des Schädlings als eher gering ein. "Meine Botschaft an den Autor: Bei uns brauchst du dich nicht zu bewerben.", kommentiert das SophosLabs-Direktor Mark Harris. Angesichts der Codequalität des Schädlings lege er dessen Verfasser eher nahe, sich eine ganz andere Beschäftigung zu suchen.

BadBunny-A ist nicht die erste Malware für OpenOffice: Bereits Ende Mai 2006 war das ebenfalls in Starbasic geschriebene Makrovirus Stardust-A aufgetaucht, das ebenfalls ein pornografisches Bild herunterlud und in alle Dokumente einen Text einzufügen versuchte. Stardust-A war jedoch so fehlerhaft programmiert, dass es sich nicht replizieren konnte.

Ähnliche Artikel

Kommentare
Re: OpenOffice-Wurm für Linux, Windows und MacOS
Screw-IT-Fix , Dienstag, 29. Mai 2007 16:54:31
Ein/Ausklappen

Wie kann dieses Macro ein Script ausführen ohne die nötigen Rechte zu setzen oder haben. Wie verändert es "mIRC" ohne Root-Rechte ? (vorausgesetzt der Anwender arbeitet nicht als "root")


Manchmal habe ich den Eindruck, das ist alles Microsoft-FUD um den DAU's zu sagen "OpenSource ist auch nicht sicher". Also wenn der Programmierer wirklich so schlecht ist, könnte er ja in Redmond arbeiten.
Vielleicht in Microsoft's "Linux/Open Source Software Lab" ?



Bewertung: 325 Punkte bei 103 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...