Kampf gegen Stuxnet-Nachfolger

Symantec erhält Informationen über den Trojaner W32.Duqu

Tobias Wendehost beschäftigt sich als Volontär aktuell mit verschiedenen Hardwarethemen und stellt täglich ein Gadget des Tages vor. Ansonsten arbeitet er sich thematisch durch die Ressorts Job und Karriere, Software, Netzwerke und Mobile sowie IT-Strategie. Wer möchte, kann Tobias bei Twitter (@tubezweinull) folgen oder bei Xing eine Nachricht schreiben.
Das Labor für Kryptographie und Systemsicherheit (CrySyS) der Universität Budapest hat Symantec Informationen über W32.Duqu weitergegeben. Die Codeanalyse hat eine gravierende Ähnlichkeit zu Stuxnet nachgewiesen.
Symantec sucht weiter nach Fingerabdrücken von W32.Duqu.
Symantec sucht weiter nach Fingerabdrücken von W32.Duqu.
Foto: Symantec

Das Security-Unternehmen aus Mountain View erhielt durch die Codeanalyse von CrySyS neue Erkenntnisse über das Design und die Funktionsweise von W32.Duqu. Dabei stellten die Forscher aus Budapest viele Gemeinsamkeiten zum Computerwurm Stuxnet fest. Laut Symantec hatten die Entwickler somit einen Zugang zum Code des Schadprogramms.

Wird der Trojaner auf dem System des Opfers installiert, erstellt das Programm Dateien mit der Endung "~DQ", nach der er benannt wurde. Zwar sei das Codedesign Stuxnet nachempfunden, allerdings ist die Zielsetzung von W32.Duqu eine andere. Er sammelt Daten ausschließlich auf infizierten Windows-Rechnern, die einen späteren Angriff erleichtern sollen. Als Ziele wurden in erster Linie Forschungseinrichtungen ausgemacht.

Das Programm ist als Remote-Access-Trojaner aufgebaut und besteht aus drei Dateien: einem Treiber, einer DLL- und einer Konfigurations- Datei. Gelangen die Dateien auf einen Rechner, werden diese über ein Installationsprogramm eingerichtet und der Treiber wird als Service beim Systemstart aktiviert. Eine kleine Kettenreaktion ist die Folge, bei der weitere Komponenten mit Hilfe der DLL-Datei installiert werden.

Der von Symantec wiederhergestellte Trojaner kommunizierte mit einem Command-and-Control-Server in Indien, der aber bei der Überprüfung Mitte Oktober schon inaktiv war. Allerdings ermöglichte die Steuerung des Schädlings über diesen Server den Zugriff auf infizierte Systeme. So konnten Netzwerkdaten, Tastaturabdrücke sowie verschiedene Systeminformationen gesammelt werden. Die gestohlenen Daten wurden schließlich in JPEG-ähnliche Dateien verpackt und an den Server verschickt.

Der Datenklau dauert nach der Infizierung insgesamt 36 Tage, danach entfernt sich W32.Duqu von selbst. Nach Angaben von Symantec konnten mehrere Versionen des Trojaners identifiziert werden, wobei die JMINET/NETP191-Variante bereits im Dezember 2010 auftauchte und noch im September verbreitet wurde. Zwar hat das Softwareunternehmen seine Sicherheitszertifikate mittlerweile überprüft und keine weitere Infizierung feststellen können. Einen Grund zur Entwarnung gibt es dennoch nicht, denn wie genau die Schädlinge auf die Rechner kommen und wer für den Trojaner verantwortlich ist, wurde bisher nicht geklärt.