Mehrere Antivirus-Hersteller berichten über ein Trojanisches Pferd, das über präparierte Powerpoint-Dateien (PPT) verbreitet wird. Diese Dateien nutzen eine Schwachstelle in Microsoft Office aus, die im Security Bulletin MS06-012 vom 14. März 2006 behandelt wird.
Die Powerpoint-Dateien können zum Beispiel per Mail verschickt werden. Diese Mails können den Betreff "new plan" tragen und einen Anhang namens "newplan.ppt" enthalten. Der Text der Mails beginnt mit dem Satz "The operational plan of next week has revised and respond to us". Diese Mails könnten jedoch auch mit einem beliebigen anderen Betreff und Dateinamen sowie einem völlig anderen Text eintreffen.
Wird der Anhang in Powerpoint geöffnet, erscheint zunächst eine Grafik. Durch Ausnutzen einer Sicherheitslücke wird eine temporäre Datei mit zufälligem Namen angelegt. Diese enthält das Trojanische Pferd "Nithsys". Sie wird gestartet und legt zwei ausführbare Dateien an:
C:\Windows\System32\wbem\wmiadapt.exe
C:\Windows\System32\systhin.dll
Ferner werden Einträge in der Registry vorgenommen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = Explorer.exe %System%\wbem\wmiadapt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<zufälliger Name> = <Pfad zur Datei>