MS: 'veilige modus' Word beschermt tegen Trojaans paard
Gepubliceerd: Woensdag 24 mei 2006
Auteur: Evan Schaafsma
Microsoft raadt Word-gebruikers aan om het tekstverwerkingsprogramma in de 'veilige modus' te draaien om een recent verschenen trojan buiten de deur te houden.
Veiligheidsexperts zeggen dat de trojan nog niet voor grote problemen heeft gezorgd. "Het goede nieuws is dat het niet erg wijd verspreid is", aldus Graham Cluley, technologie-adviseur van antivirusbedrijf Sophos PLC. "Er zijn erg weinig meldingen binnen gekomen." Onderzoekers van F-Secure en Trend Micro bevestigen deze indruk.
Het veiligheidscentrum van Microsoft analyseert de kwetsbaarheid, die Word-versies XP en 2003 treft. Microsoft publiceert op zijn eerstvolgende patchdag (13 juni) een patch, en eerder als dat noodzakelijk blijkt, zo laat het bedrijf weten.
Ondertussen kan de veilige modus van Word gebruikt worden om te voorkomen dat de kwetsbare code misbruikt wordt. De eerste stap is het uitschakelen van de Outlook-functie die Word gebruikt voor het bewerken van e-mails. Vervolgens moet in een nieuwe snelkoppeling '/safe' worden toegevoegd aan de opdrachtregel van Word. Gedetailleerde instructies zijn te vinden op de website van Microsoft.
"Om veiligheidsredenen raad ik aan om de aanpassingen uit te voeren, al is het een beetje ingewikkeld", stelt David Sancho van Trend Micro aan. In de veilige modus negeert Word aanpassingen van de werkbalk, kunnen veranderde instellingen niet bewaard worden en zijn functies als Autocorrect en Smarttags uitgeschakeld.
De trojan, die op 18 mei opdook, zitt verstopt in een Word-bestand dat als attachment bij een e-mail is gevoegd. De heimelijk geïnstalleerde software zet de deur open voor commando's die op afstand gegeven worden en ander misbruik. De trojan kan echter zijn werk pas doen als ontvangers het Word-attachment openen waarin het zich genesteld heeft. Volgens Erkki Mustonen van F-Secure versturen hackers de trojan nog gericht en niet als bulk.
Volgens Mustonen komen de klachten die F-secure ontvangt over de trojan, allemaal uit één zakelijke markt, maar hij wil niet zeggen welke. Mustonen adviseert bedrijven om verdacht verkeer vanuit China door de firewall te laten tegenhouden. De trojan schijnt met een Chinese server te communiceren.
