Neue Duqu-Variante aufgetaucht

Sicherheitsforscher von Symantec haben neue Variante von Duqu entdeckt – ein klares Zeichen dafür, dass die Angriffe mit dem Spionage-Trojaner weitergehen. Der jüngste Duqu-Treiber wurde im Februar 2012 kompiliert. Nach Angaben von Costin Raiu von Kaspersky wurde die jüngste Duqu-Variante entwickelt, um den Trojaner vor dem eigens von CrySys entwickelnten Open-Source-Detektor zu verstecken.

Symantec identifizierte ihn als mcd9x86.sys und erklärte, er enthalte keine neuen Funktionen. Rund vier Monate zuvor war Duqu erstmals als eigenständige Malware bezeichnet worden, die „auffällige Ähnlichkeiten“ mit Stuxnet aufweist – jenem Wurm, der Nuklearanlagen im Iran angegriffen hatte.

Kaspersky hat indes aus dem Code von Duqu herausgelesen, dass dessen Programmierer seit Längerem im Geschäft sein müssen. Die Hacker verwendeten unter anderem die relativ selten genutzte Sprache OO C, wie Sicherheitsforscher Igor Soumenkov in einem Blogeintrag erläutert. Die Abkürzung steht für Object Oriented C und ist eine etwas in Vergessenheit geratene angepasste Erweiterung der Sprache C.

Die Hacker haben Soumenkov zufolge OO C genutzt, um damit die Komponenten für ‚Command and Control‘ (C&C) des Schädlings zu programmieren, die mit Hilfe des Compilers in Microsoft Visual Studio 2008 kompiliert wurden. Die größten Teile von Duqu wurden hingegen in C++ geschrieben und mit Visual C++ 2008 kompiliert.

Daraus schließt Soumenkov, dass zumindest einige der Entwickler von Duqu zu Zeiten von Assembler zu programmieren begonnen haben. Die Assembler-Entwickler wechselten damals häufig zu C, als sich diese Sprache langsam durchsetzte. „Als dann C++ veröffentlich wurde, blieben viele Old-School-Programmierer dieser Sprache fern, weil sie ihr misstrauten“, schreibt Soumenkov. Die Autoren, die diese Programm-Komponenten lieferten, müssen in ihrem Bereich absolute Spezialisten sein. Solche Techniken kämen heutzutage in professioneller Software vor und kaum in „dummer Malware“. Damit „ragt Duqu aus der Masse der Schadsoftware heraus wie ein Diamant“.

Bei Duqu handelt es sich um einen hochspezialisierten Trojaner, der auf Windows-Systemen eine Hintertür installiert und Dateien sammelt – etwa Konstruktionspläne von Herstellern industrieller Kontrollsysteme. Er nutzte eine Zero-Day-Lücke in Windows aus, um Rechner mittels manipulierter Word-Dateien zu infizieren. Microsoft zufolge steckte ein Fehler in der Verarbeitung von Win32k-Truetype-Schriften. Mitte Dezember schloss es die Lücke.

Stuxnet gilt als intelligentes Sabotage-Werkzeug, das das iranische Atomprogramm deutlich zurückgeworfen haben soll. Der Computerwurm attackierte nur Industrie-Steuerungsanlagen von Siemens, und zwar ausschließlich in einer Konfiguration, wie sie für Zentrifugen zur Anreicherung radioaktiven Materials typisch sei.

[mit Material von Ryan Naraine, ZDNet.com, und Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

19 Stunden ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

1 Tag ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

4 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

4 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

4 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

5 Tagen ago