OpenOffice-Wurm für Linux, Windows und MacOS

OpenOffice-Wurm für Linux, Windows und MacOS

Jörg Luther
23.05.2007

Der Antiviren-Anbieter Sophos berichtet über den ersten OpenOffice-Makro-Wurm: »BadBunny-A« befällt Installationen sowohl unter Linux als auch unter Mac OS und Windows. Allerdings hat Sophos den Schädling nicht in freier Wildbahn aufgespürt, sondern direkt von den Autoren zugeschickt bekommen. Es handelt sich also weniger um einen echten Schädling als vielmehr um eine Machbarkeitsdemonstration, neudeutsch: Proof of Concept (PoC).

BadBunny-A kommt als Starbasic-Makro in der OO-Draw-Datei badbunny.odg, funktioniert aber im Prinzip auch mit OpenOffice-Dateien anderer Anwendungen. Öffnet man die befallene Datei und startet dabei das Makro, infiziert dieses eine vorhandene Installation der IRC-Clients mIRC respektive XChat. Dazu legt der Schädling unter Linux ein Python-Skript an, bei mIRC überschreibt er die script.ini. Dies sorgt dafür, dass BadBunny-A sich via IRC weiter verbreiten kann.

Darüber hinaus legt der Wurm weitere Skripts als Dateinfektoren ab, je nach Plattform in unterschiedlicher Sprache (Linux: Perl, Mac OS: Ruby, Windows: Javascript). Zudem versucht BadBunny-A ein pornografisches Bild aus dem Internet zu laden und anzuzeigen, woher der Name des Schädlings herrührt: Das Photo zeigt einen Mann im Häschenkostüm beim Akt. Schließlich versucht BadBunny-A noch eine Ping-of-Death-Attacke gegen die Websites zahlreicher Antivirus-Anbieter.

Nach Einschätzung von Sophos handelt es sich bei BadBunny-A um einen "Schädling der alten Schule", der nicht zur tatsächlichen Verbreitung gedacht ist und bis jetzt auch offenbar nicht freigesetzt wurde. Dass die Autoren den Wurm lediglich an einen Antiviren-Anbieter eingesendet haben, deutet klar auf einen PoC hin. Allerdings schätzen die AV-Experten von Sophos die "Qualität" des Schädlings als eher gering ein. "Meine Botschaft an den Autor: Bei uns brauchst du dich nicht zu bewerben.", kommentiert das SophosLabs-Direktor Mark Harris. Angesichts der Codequalität des Schädlings lege er dessen Verfasser eher nahe, sich eine ganz andere Beschäftigung zu suchen.

BadBunny-A ist nicht die erste Malware für OpenOffice: Bereits Ende Mai 2006 war das ebenfalls in Starbasic geschriebene Makrovirus Stardust-A aufgetaucht, das ebenfalls ein pornografisches Bild herunterlud und in alle Dokumente einen Text einzufügen versuchte. Stardust-A war jedoch so fehlerhaft programmiert, dass es sich nicht replizieren konnte.

Ähnliche Artikel

Kommentare
Re: OpenOffice-Wurm für Linux, Windows und MacOS
Screw-IT-Fix , Dienstag, 29. Mai 2007 16:54:31
Ein/Ausklappen

Wie kann dieses Macro ein Script ausführen ohne die nötigen Rechte zu setzen oder haben. Wie verändert es "mIRC" ohne Root-Rechte ? (vorausgesetzt der Anwender arbeitet nicht als "root")


Manchmal habe ich den Eindruck, das ist alles Microsoft-FUD um den DAU's zu sagen "OpenSource ist auch nicht sicher". Also wenn der Programmierer wirklich so schlecht ist, könnte er ja in Redmond arbeiten.
Vielleicht in Microsoft's "Linux/Open Source Software Lab" ?



Bewertung: 326 Punkte bei 108 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Internet abschalten
Karl-Heinz Hauser, 20.02.2018 20:10, 0 Antworten
In der Symbolleiste kann man das Kabelnetzwerk ein und ausschalten. Wie sicher ist die Abschaltu...
JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 2 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...