Den er opkaldt efter de gigantiske, ormelignende væsner på planeten Arrakis i science fiction-universet Klit (Dune), men til gengæld er den en større trussel mod kontorfolk end mod dem, der vil have fingre i krydderiet.
Malwaren ‘Sandworm’ udnytter nemlig et sikkerhedshul i Powerpoint, som Microsoft først har lukket i denne uge med oktober måneds sikkerhedsopdateringer til Office-pakken.
Reelt er der ikke tale om en ægte orm trods navnet, påpeger Paul Ducklin fra sikkerhedsfirmaet Sophos i et blognindlæg.
Sandworm kan nemlig ikke sprede sig selv til andre pc’er, og det er ét af de væsentlige kendetegn ved den type malware, som normalt får betegnelsen ‘orm’ i antiviruskredse.
I stedet vil Sandworm ankomme i indbakken som en vedhæftet Powerpoint-præsentation. Når man åbner præsentationen, vil Sandworm udnytte et sikkerhedshul, som gør det muligt at tilgå en fil på en ekstern server og tilføje et punkt til registreringsdatabasen i Windows.
Det betyder, at Sandworm henter to filer fra en ekstern server og installerer dem på pc’en. Den ene fil bliver omdøbt til en exe-fil, som så bliver eksekveret, næste gang der bliver logget ind på pc’en.
Angiveligt har Sandworm været anvendt af russiske bagmænd til flere målrettede angreb forud for frigivelsen af sikkerhedsopdateringen til Powerpoint.
Leave a Reply