Myrte und Guave: Episode 4

Vor Kurzem berichteten wir über eine neue Variante der Rootkit-Komponente des Wurms Stuxnet, die auch mit einem digitalen Zertifikat versehen war. Allerdings stammte es diesmal nicht von der Firma Realtek, sondern von dem Unternehmen JMicron. Costin Raiu widmete sich diesem Thema ausführlich in zwei Postings .

Die Massenmedien griffen die Neuigkeit schnell auf, und im Internet war viel von der „Entdeckung einer neuen Wurm-Variante“ die Rede. Allerdings war das alles nicht so ganz einfach, wie es Schlagzeilen dieser Art suggerierten.

Denn die wichtigste Frage blieb in allen Berichten unbeantwortet: Wo war eigentlich der Wurm selbst, zu dem der signierte Treiber gehören sollte? Die Tatsache, dass der Treiber am 14 Juli erstellt wurde, könnte bedeuten, dass es auch eine neue Variante des Wurms „in freier Wildbahn“ gibt, und zwar möglicherweise auch mit neuer Funktionalität.

Allerdings waren all unsere Bemühungen, den Dropper oder auch nur einen zweiten Rootkit-Treiber aufzuspüren (denn davon müsste es zwei geben) nicht von Erfolg gekrönt.

Die Erklärungsversuche für das Auftauchen von Zertifikaten taiwanesischer Firmen in Malware liefen in der letzten Zeit immer auf zwei Theorien hinaus – entweder wurden sie mit Hilfe eines trojanischen Programms oder durch einen Insider gestohlen. Dass es uns nicht gelungen war, den Dropper oder zweiten Treiber zu finden, machte die ganze Geschichte nur noch verworrener.

So entschlossen wir uns, einen Blick auf die Detektierungs-Statistik von Rootkit.Win32.Stuxnet.c, dem Treiber mit der Jmicron-Signatur, zu werfen. Das Ergebnis war entmutigend: Unser System KSN hatte innerhalb von 3 Tagen (vom 20-23. Juli) das Modul genau 2 Mal gefunden – einmal in Russland, einmal in der Ukraine.

Verglichen mit der Verbreitungsstatistik der Rootkit-Komponente mit dem Realtek-Zertifikat ist das einfach lachhaft.

So oder so, Verisign nahm das entsprechende Zertifikat von JMicron zurück, und es ist jetzt nicht mehr gültig. In unserer Whitelist-Datenbank waren 124 von ihnen signierte Anwendungen enthalten. Selbstverständlich waren sie alle „sauber“.

Ich möchte im Moment noch keine Aussage über die Herkunft des mysteriösen Treibers treffen. Dass es sich dabei um eine veränderte Variante des Rootkit-Treibers mrxcls.sys handelt, steht zweifelsfrei fest. Doch wir sind noch immer auf der Suche danach, was er auf den infizierten Computern starten soll. Ebenso wie die von ihm infizierten Computer:).

Guckt man sich die Verbreitungsstatistik der Hauptvariante von Stuxnet an, so sieht man, dass sich die Epidemie in Indien, im Iran und in Indonesien weiter ausbreitet. Die Zahl der infizierten Computer steigt täglich um etwa 1000 – und das ist nur die Spitze des Eisbergs, die wir mit Hilfe von KSN sichtbar machen können.

Bemerkenswert ist, dass Stuxnet auch in Afghanistan und Aserbaidschan recht weit verbreitet ist, wo jeweils über 1000 infizierte Systeme entdeckt wurden.

Das Verbreitungsgebiet der Bedrohung gibt reichlich Stoff zum Nachdenken…

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.