Überlistet fast alle AV-Scanner
Entwickelt wurde Evil Clippy von Security-Experten von Outflank aus den Niederlanden, die es auf der BlackHat Asia-Konferenz vorgestellt haben. Geschrieben wurde die Software in Visual C# und der Sourcecode ist auf GitHub frei verfügbar. Dort finden sich auch Beispiele und Anleitungen, wie mit dem Werkzeug eigene Schadcodes generiert und möglichst gut getarnt in Office-Files integriert werden können.Wie effektiv der böse Bruder von Clippy dabei arbeitet, zeigt ein beispielhafter Test einer Word-Datei, in die ein klassischer Makrovirus eingebaut wurde, gegen die diversen AV-Engines beim Dienst VirusTotal. Dort wird der eingebettete Schadcode erst von über der Hälfte der Engines erkannt. Nachdem Evil Clippy aktiv wurde, fällt gerade noch einem AV-Scanner etwas auf.
AV-Scanner: Vor...
...und nach Evil Clippy
Um Evil Clippy verwenden zu können, muss der auf GutHub zu findende Code mit dem Mono C#-Compiler übersetzt werden. Nach Angaben der Entwickler wurde er als ausführbare Datei sowohl unter Windows als auch unter Linux und MacOS erfolgreich getestet. Die Software sollte Administratoren gute Dienste dabei leisten, ihre Infrastruktur zu testen. Denn Malware-Makros in Office-Dokumenten sind immer noch einer der häufigsten Wege, über die sich Angreifer einen ersten Zugang in eine Firmen-Infrastruktur verschaffen.
Siehe auch: Clippy: Schon frühe Tester hassten 'gruseligen' Office-Assistenten