Myrte und Guave: Episode 3

Die geografische Verbreitung des geheimnisvollen Trojaners Stuxnet ist nicht weniger bemerkenswert als er selbst.

Wir detektieren Rootkit-Komponenten (signierte Treiber) wie Rootkit.Win32.Stuxnet und weitere Dateien wie etwa Trojan-Dropper.Win32.Stuxnet.

Zwischen dem 10. und 14. Juli registrierte das System Kaspersky Security Network über 16 000 Anwender auf der ganzen Welt, auf deren Computern Komponenten des Trojaners entdeckt worden waren (den man eigentlich – auf Grund seiner Verbreitung über mobile Speichermedien – als Wurm bezeichnen müsste).

Ein Blick auf die Statistik, hier übertragen auf die Weltkarte, zeigt, dass die Zentren der Epidemie in drei Ländern liegen – die komischerweise auch noch alle mit demselben Buchstaben beginnen – , und zwar dem Iran, Indien und Indonesien.

In jedem dieser Länder wurden von KSN mehr als 5000 Fälle registriert. Zum Vergleich: In Russland waren es um die 150, und in China lediglich 5.

Eine Erklärung für diese geografische Verteilung zu finden, ist nicht leicht, doch sie sollte in erster Linie an der Tatsache festmachen, dass sich Stuxnet über USB-Speichermedien verbreitet. Diese Ausbreitungsmethode ist nicht gerade die schnellste, doch andererseits wird dadurch ein längerer Lebenszyklus des Schädlings garantiert (ein Beispiel hierfür ist der Virus Sality, der sich ebenfalls über mobile USB-Speicher verbreitet).

Sicher allerdings ist, dass sich die Epidemie bisher hauptsächlich auf den asiatischen Raum beschränkt.

Könnte in der Verbreitungsgeografie eine Erklärung dafür liegen, wie es gelingen konnte, die Rootkit-Komponenten digital zu signieren?

Sicherlich zählen Verschwörungstheorien nicht zu den wirklich seriösen wissenschaftlichen Ansätzen. Doch da Paranoia nun mal zur IT-Sicherheit gehört wie das Freibad zum Sommer, nehme ich mir die Freiheit, an dieser Stelle zwei Hypothesen aufzustellen.

Realtek ist ein „Hardware“-Unternehmen und das Programmieren der Software für ihre Geräte ist ein nebensächlicher Prozess, der der Optimierung halber ausgelagert wird. Und welches Land ist weltweit führend, wenn es um das Outsourcing vom Programmieren geht?

Richtig: Es ist Indien.
Könnte der Outsourcer, der die Software für das Unternehmen schreibt, in der Lage sein, Programme mit dem Zertifikat des Unternehmens zu „signieren“? Möglicherweise ja.

Eine Theorie wäre also, dass das Schadprogramm in Indien entwickelt wurde (man werfe nur mal einen Blick auf die Karte), und zwar möglicherweise nicht ohne Beteiligung eines Insiders unter den Programmierern von Anwendungen für Realtek.

Doch wenn wir schon am Theorien-Schmieden sind, möchte ich auch nicht die Variante außer Acht lassen, dass die entsprechenden Treiber-Dateien tatsächlich legale Treiber sind, die von der Firma Realtek entwickelt wurden.

Ja, sie verfügen über Rootkit-Funktionalität und sie verbergen vor dem Anwender ~WTRxxxx.tmp-und *.lnk-Dateien im Wurzelverzeichnis des mobilen Speichers. Na und? Das muss nicht heißen, dass die Treiber nicht legitim sind. Man erinnere sich nur an die Geschichte mit dem Sony-Rootkit XCP, das der AV-Industrie noch sehr gut im Gedächtnis ist.

Ach ja, ich habe da ja noch etwas Wichtiges vergessen 🙂

„Die Myrte (lat. Myrtus) ist ein immergrüner Strauch aus der Familie der Myrtengewächse (Myrtaceae). Zu dieser Familie gehören neben der Myrte unter anderem auch Gewürznelke, Guave, Feijoa, Pimentbaum und Eukalyptus.“

Der Titel meiner kleinen Serie „Myrte und Guave“ kommt nicht von ungefähr. Im Code der Rootkit-Treiber ist nämlich auch der Projektname des Autors enthalten:

b:myrtussrcobjfre_w2k_x86i386guava.pdb
Projekt „Myrte“, Modul „Guave“.

Fortsetzung folgt?

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.