Open-Source-Detektor für Duqu-Trojaner veröffentlicht

Das ungarische Forschungslabor Cryptography and System Security (CrySys) hat ein Open-Source-Tool veröffentlicht, mit dem sich der Trojaner Duqu auf Computern und in Netzwerken nachweisen lässt. Die Einrichtung, die zur Budapest University of Technology and Economics gehört, gilt als Entdecker des Schädlings.

Das Duqu Detector Toolkit überprüft nach Angaben seiner Entwickler Signaturen und geht heuristisch vor. Es kann selbst dann noch Spuren der Malware finden, wenn einzelne Komponenten von Duqu schon entfernt wurden. Der Programmcode der Software sei leicht zu analysieren und auf Schadcode zu prüfen, was auch den Einsatz in Umgebungen mit besonderen Anforderungen wie kritischen Infrastrukturen erlaube, heißt es.

„Hinter den Tools steckt die Absicht, verschiedene Anomalien und bekannte Indikatoren für die Gegenwart von Duqu auf einem analysierten System zu finden“, heißt es auf der CrySys-Website. Es sei aber möglich, dass das Toolkit auch zu Falschmeldungen führe. Über weitere Schritte nach einem Fund müsse professionell geschultes Personal entscheiden.

Das Toolkit sei auch in der Lage, neue oder modifizierte Version von Duqu aufzuspüren, schreiben die Entwickler weiter. „Duqu deaktiviert sich nach einer bestimmten Zeit und löscht sich von einem Computer, aber einige temporäre Dateien könnten immer noch auf eine frühere Duqu-Infektion hinweisen. Unser Tool kann möglicherweise auch diese Fälle identifizieren.“

Duqu nutzt eine Zero-Day-Lücke in Windows aus, um Rechner mittels manipulierter Word-Dokumente zu infizieren. Microsoft zufolge steckt ein Fehler in der Verarbeitung von Win32k-Truetype-Schriften. Seit Ende vergangener Woche steht ein temporärer Fix für die Schwachstelle zur Verfügung.