Mehr Infos zu DuQu
Stuxnet-Derivat entdeckt
Fortsetzung des Artikels von Teil 1
Verbreitungsweg soziale Netzwerke?
Laut des Symantec-Blogs „w32_duqu_precursor_next_stuxnet” handelt es sich bei der Schadsoftware um einen „Remote Access Trojan“ (RAT), der sich nicht selbstständig weiter verbreitet und auch keinen Programmcode für spezifische Steuerungen enthält. Das wirft Fragen zum möglichen Verbreitungsweg auf: Die Hacker könnten ihre Opfer gezielt ausgewählt und die Schadsoftware über gefälschte Mails und infizierte Dateianhänge gekapert haben. "Über die sozialen Netzwerke ist es kein Problem, die Freunde einer Zielperson zu identifizieren und eine Mail in ihrem Namen zu verschicken", so Wüest. Nach der Infektion installiert der Trojaner ein Programm zum Aufzeichnen von Screenshots und Tastatureingaben, beispielsweise Logindaten und Passwörter. Der Trojaner nutzt HTTP und HTTPS, um mit einem inzwischen abgeschalteten Command-and-Control-Server in Indien zu kommunizieren und die ausgespähten Informationen als getarnte Bilddateien (.jpg-Files) zu übertragen. 36 Tage nach der Installation löscht sich das Virus automatisch und ist danach nicht mehr aufspürbar.
Am 19. Oktober 2011 berichtet Symantec von weiteren DuQu-Varianten, die von einem anderen Institut gemeldet wurden. Dazu Wüest: "Diese Versionen wurden wahrscheinlich auf einen speziellen Einsatzfall angepasst, haben aber das gleiche Ziel: Den Diebstahl von Informationen". Inzwischen ist die Signatur des Virus bekannt und über die Updates der Viren-Scanner verfügbar. Bleibt noch die Funktionsweise und den Infektionsweg vollends nachzuvollziehen und der Versuch, die Verursacher ausfindig zu machen.
Am 20. Oktober veröffentlichte Symantec zu dem Thema das Whitepaper "W32.Duqu - The precursor to the next Stuxnet".
Stefan Kuppinger, Computer&Automation
- Stuxnet-Derivat entdeckt
- Verbreitungsweg soziale Netzwerke?
