Der Office-Assistent Clippy hat Millionen von Office-Nutzern genervt – bis Microsoft den entfernt hat. Nun hat das Teil die Seiten gewechselt und kommt als Malware-Testsoftware für Sicherheitsforscher zurück.
Anzeige
Nun, um es gleich vorweg zu nehmen: Es ist keine gehackte Clippy-Version von Microsoft, die jetzt als Malware unter die Leute gebracht wird. Vielmehr ist es ein Test-Tool für Sicherheitsspezialisten.
Evil Clippy: Test-Tool für Sicherheitsspezialisten
Niederländische Sicherheitsforscher haben das Ganze in diesem Blog-Beitrag thematisiert. Auf der BlackHat Asia haben die Sicherheitsforscher Evil Clippy veröffentlicht. Diese Variante soll als Tool Red Teams (die Angriffe in eigenen Firmennetzwerken versuchen, um Schwachstellen aufzuspüren) und Sicherheitstester bei der Erstellung von bösartigen MS Office Dokumenten unterstützen.
(Quelle: Outflank)
Denn Penetrationstester brauchen Malware-Proben, mit denen sie die eigene Infrastruktur traktieren, um Schwachstellen zu analysieren. Office-Dokumente mit Malware sind dabei eine beliebte Angriffsquelle. Evil Clippy unterstützt die Tester dabei, genau in diesem Bereich geeignete Office-Dokumente zu erstellen, die die Sicherheitsmechanismen der Firmen umgehen sollen.
Anzeige
Evil Clippy kann unter anderem VBA-Makros verstecken, VBA-Code (über p-Code) über das undokumentierte "VBA Stomping" ausführen und gängige Makroanalysetools verwirren. Die Forscher schreiben:
Zum Zeitpunkt der Erstellung dieses Tools ist es in der Lage, bösartige Makros zu erstellen, die alle wichtigen Antivirenprodukte und die meisten Maldoc-Analysetools umgehen. Dies wird durch die Manipulation von MS Office-Dateien auf Dateiformatebene erreicht.
Die Details sind im Blog-Beitrag der Sicherheitsforscher beschrieben. Evil Clippy läuft unter Linux, OSX und Windows. Den aktuellen Quellcode des Tools finden Sie hier:
https://github.com/outflanknl/EvilClippy
Die neuesten binären Versionen sind verfügbar unter:
https://github.com/outflanknl/EvilClippy/releases
Scheint so, als ob dieser Clippy-Variante noch eine große Zukunft blühen könnte – die bösen Buben und auch die Script-Kiddies werden sich auf Evil Clippy stürzen. Mal schauen, was da noch so bei rum kommt. (via)
Anzeige
Das waren noch Zeiten mit "Franz Klammer". Bei guter Laune fand ich das manchmal lustig. Es ließ sich ja auch Anderes statt der Büroklammer einstellen, oder ganz deaktivieren.
Zu der Zeit war ich mit WinMe unterwegs, danach mit einer fehlerhaften Raubkopie von WinXp Professional. Bis ich eine lizensierte Version von Win2000 geschenkt bekam.
Im Jahr 2008 habe ich mir einen neuen Rechner und ein gekauftes WinXP Professional geleistet.
Und erst 2013 kam ein gekauftes Win7 Ultimate ohne Kinderkrankheiten.