Sicherheitsforscher von Symantec haben neue Variante von Duqu entdeckt – ein klares Zeichen dafür, dass die Angriffe mit dem Spionage-Trojaner weitergehen. Der jüngste Duqu-Treiber wurde im Februar 2012 kompiliert. Nach Angaben von Costin Raiu von Kaspersky wurde die jüngste Duqu-Variante entwickelt, um den Trojaner vor dem eigens von CrySys entwickelnten Open-Source-Detektor zu verstecken.
Symantec identifizierte ihn als mcd9x86.sys und erklärte, er enthalte keine neuen Funktionen. Rund vier Monate zuvor war Duqu erstmals als eigenständige Malware bezeichnet worden, die „auffällige Ähnlichkeiten“ mit Stuxnet aufweist – jenem Wurm, der Nuklearanlagen im Iran angegriffen hatte.
Kaspersky hat indes aus dem Code von Duqu herausgelesen, dass dessen Programmierer seit Längerem im Geschäft sein müssen. Die Hacker verwendeten unter anderem die relativ selten genutzte Sprache OO C, wie Sicherheitsforscher Igor Soumenkov in einem Blogeintrag erläutert. Die Abkürzung steht für Object Oriented C und ist eine etwas in Vergessenheit geratene angepasste Erweiterung der Sprache C.
Die Hacker haben Soumenkov zufolge OO C genutzt, um damit die Komponenten für ‚Command and Control‘ (C&C) des Schädlings zu programmieren, die mit Hilfe des Compilers in Microsoft Visual Studio 2008 kompiliert wurden. Die größten Teile von Duqu wurden hingegen in C++ geschrieben und mit Visual C++ 2008 kompiliert.
Daraus schließt Soumenkov, dass zumindest einige der Entwickler von Duqu zu Zeiten von Assembler zu programmieren begonnen haben. Die Assembler-Entwickler wechselten damals häufig zu C, als sich diese Sprache langsam durchsetzte. „Als dann C++ veröffentlich wurde, blieben viele Old-School-Programmierer dieser Sprache fern, weil sie ihr misstrauten“, schreibt Soumenkov. Die Autoren, die diese Programm-Komponenten lieferten, müssen in ihrem Bereich absolute Spezialisten sein. Solche Techniken kämen heutzutage in professioneller Software vor und kaum in „dummer Malware“. Damit „ragt Duqu aus der Masse der Schadsoftware heraus wie ein Diamant“.
Bei Duqu handelt es sich um einen hochspezialisierten Trojaner, der auf Windows-Systemen eine Hintertür installiert und Dateien sammelt – etwa Konstruktionspläne von Herstellern industrieller Kontrollsysteme. Er nutzte eine Zero-Day-Lücke in Windows aus, um Rechner mittels manipulierter Word-Dateien zu infizieren. Microsoft zufolge steckte ein Fehler in der Verarbeitung von Win32k-Truetype-Schriften. Mitte Dezember schloss es die Lücke.
Stuxnet gilt als intelligentes Sabotage-Werkzeug, das das iranische Atomprogramm deutlich zurückgeworfen haben soll. Der Computerwurm attackierte nur Industrie-Steuerungsanlagen von Siemens, und zwar ausschließlich in einer Konfiguration, wie sie für Zentrifugen zur Anreicherung radioaktiven Materials typisch sei.
[mit Material von Ryan Naraine, ZDNet.com, und Martin Schindler, silicon.de]
Neueste Kommentare
Noch keine Kommentare zu Neue Duqu-Variante aufgetaucht
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.