News

Myrte und Guave: Episode 3

Die geografische Verbreitung des geheimnisvollen Trojaners Stuxnet ist nicht weniger bemerkenswert als er selbst.

Wir detektieren Rootkit-Komponenten (signierte Treiber) wie Rootkit.Win32.Stuxnet und weitere Dateien wie etwa Trojan-Dropper.Win32.Stuxnet.

Zwischen dem 10. und 14. Juli registrierte das System Kaspersky Security Network über 16 000 Anwender auf der ganzen Welt, auf deren Computern Komponenten des Trojaners entdeckt worden waren (den man eigentlich – auf Grund seiner Verbreitung über mobile Speichermedien – als Wurm bezeichnen müsste).

Ein Blick auf die Statistik, hier übertragen auf die Weltkarte, zeigt, dass die Zentren der Epidemie in drei Ländern liegen – die komischerweise auch noch alle mit demselben Buchstaben beginnen – , und zwar dem Iran, Indien und Indonesien.

In jedem dieser Länder wurden von KSN mehr als 5000 Fälle registriert. Zum Vergleich: In Russland waren es um die 150, und in China lediglich 5.

Eine Erklärung für diese geografische Verteilung zu finden, ist nicht leicht, doch sie sollte in erster Linie an der Tatsache festmachen, dass sich Stuxnet über USB-Speichermedien verbreitet. Diese Ausbreitungsmethode ist nicht gerade die schnellste, doch andererseits wird dadurch ein längerer Lebenszyklus des Schädlings garantiert (ein Beispiel hierfür ist der Virus Sality, der sich ebenfalls über mobile USB-Speicher verbreitet).

Sicher allerdings ist, dass sich die Epidemie bisher hauptsächlich auf den asiatischen Raum beschränkt.

Könnte in der Verbreitungsgeografie eine Erklärung dafür liegen, wie es gelingen konnte, die Rootkit-Komponenten digital zu signieren?

Sicherlich zählen Verschwörungstheorien nicht zu den wirklich seriösen wissenschaftlichen Ansätzen. Doch da Paranoia nun mal zur IT-Sicherheit gehört wie das Freibad zum Sommer, nehme ich mir die Freiheit, an dieser Stelle zwei Hypothesen aufzustellen.

Realtek ist ein „Hardware“-Unternehmen und das Programmieren der Software für ihre Geräte ist ein nebensächlicher Prozess, der der Optimierung halber ausgelagert wird. Und welches Land ist weltweit führend, wenn es um das Outsourcing vom Programmieren geht?

Richtig: Es ist Indien.
Könnte der Outsourcer, der die Software für das Unternehmen schreibt, in der Lage sein, Programme mit dem Zertifikat des Unternehmens zu „signieren“? Möglicherweise ja.

Eine Theorie wäre also, dass das Schadprogramm in Indien entwickelt wurde (man werfe nur mal einen Blick auf die Karte), und zwar möglicherweise nicht ohne Beteiligung eines Insiders unter den Programmierern von Anwendungen für Realtek.

Doch wenn wir schon am Theorien-Schmieden sind, möchte ich auch nicht die Variante außer Acht lassen, dass die entsprechenden Treiber-Dateien tatsächlich legale Treiber sind, die von der Firma Realtek entwickelt wurden.

Ja, sie verfügen über Rootkit-Funktionalität und sie verbergen vor dem Anwender ~WTRxxxx.tmp-und *.lnk-Dateien im Wurzelverzeichnis des mobilen Speichers. Na und? Das muss nicht heißen, dass die Treiber nicht legitim sind. Man erinnere sich nur an die Geschichte mit dem Sony-Rootkit XCP, das der AV-Industrie noch sehr gut im Gedächtnis ist.

Ach ja, ich habe da ja noch etwas Wichtiges vergessen 🙂

„Die Myrte (lat. Myrtus) ist ein immergrüner Strauch aus der Familie der Myrtengewächse (Myrtaceae). Zu dieser Familie gehören neben der Myrte unter anderem auch Gewürznelke, Guave, Feijoa, Pimentbaum und Eukalyptus.“

Der Titel meiner kleinen Serie „Myrte und Guave“ kommt nicht von ungefähr. Im Code der Rootkit-Treiber ist nämlich auch der Projektname des Autors enthalten:

b:myrtussrcobjfre_w2k_x86i386guava.pdb
Projekt „Myrte“, Modul „Guave“.

Fortsetzung folgt?

Myrte und Guave: Episode 3

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach