Neue Duqu-Variante aufgetaucht

Sicherheitsforscher von Symantec haben neue Variante von Duqu entdeckt – ein klares Zeichen dafür, dass die Angriffe mit dem Spionage-Trojaner weitergehen. Der jüngste Duqu-Treiber wurde im Februar 2012 kompiliert. Nach Angaben von Costin Raiu von Kaspersky wurde die jüngste Duqu-Variante entwickelt, um den Trojaner vor dem eigens von CrySys entwickelnten Open-Source-Detektor zu verstecken.

Symantec identifizierte ihn als mcd9x86.sys und erklärte, er enthalte keine neuen Funktionen. Rund vier Monate zuvor war Duqu erstmals als eigenständige Malware bezeichnet worden, die „auffällige Ähnlichkeiten“ mit Stuxnet aufweist – jenem Wurm, der Nuklearanlagen im Iran angegriffen hatte.

Kaspersky hat indes aus dem Code von Duqu herausgelesen, dass dessen Programmierer seit Längerem im Geschäft sein müssen. Die Hacker verwendeten unter anderem die relativ selten genutzte Sprache OO C, wie Sicherheitsforscher Igor Soumenkov in einem Blogeintrag erläutert. Die Abkürzung steht für Object Oriented C und ist eine etwas in Vergessenheit geratene angepasste Erweiterung der Sprache C.

Die Hacker haben Soumenkov zufolge OO C genutzt, um damit die Komponenten für ‚Command and Control‘ (C&C) des Schädlings zu programmieren, die mit Hilfe des Compilers in Microsoft Visual Studio 2008 kompiliert wurden. Die größten Teile von Duqu wurden hingegen in C++ geschrieben und mit Visual C++ 2008 kompiliert.

Daraus schließt Soumenkov, dass zumindest einige der Entwickler von Duqu zu Zeiten von Assembler zu programmieren begonnen haben. Die Assembler-Entwickler wechselten damals häufig zu C, als sich diese Sprache langsam durchsetzte. „Als dann C++ veröffentlich wurde, blieben viele Old-School-Programmierer dieser Sprache fern, weil sie ihr misstrauten“, schreibt Soumenkov. Die Autoren, die diese Programm-Komponenten lieferten, müssen in ihrem Bereich absolute Spezialisten sein. Solche Techniken kämen heutzutage in professioneller Software vor und kaum in „dummer Malware“. Damit „ragt Duqu aus der Masse der Schadsoftware heraus wie ein Diamant“.

Bei Duqu handelt es sich um einen hochspezialisierten Trojaner, der auf Windows-Systemen eine Hintertür installiert und Dateien sammelt – etwa Konstruktionspläne von Herstellern industrieller Kontrollsysteme. Er nutzte eine Zero-Day-Lücke in Windows aus, um Rechner mittels manipulierter Word-Dateien zu infizieren. Microsoft zufolge steckte ein Fehler in der Verarbeitung von Win32k-Truetype-Schriften. Mitte Dezember schloss es die Lücke.

Stuxnet gilt als intelligentes Sabotage-Werkzeug, das das iranische Atomprogramm deutlich zurückgeworfen haben soll. Der Computerwurm attackierte nur Industrie-Steuerungsanlagen von Siemens, und zwar ausschließlich in einer Konfiguration, wie sie für Zentrifugen zur Anreicherung radioaktiven Materials typisch sei.

[mit Material von Ryan Naraine, ZDNet.com, und Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago