11.06.2012, 12:26

Panagiotis Kolokythas

Neue Rätsel

Spionage-Schädling Flame versucht Selbstmord zu begehen

Flame erhält Befehl für Selbstmord ©istockphoto.com/barisonal

Der Spionage-Schädling Flame versucht offenbar alle Spuren von sich zu löschen. Jedenfalls haben die bisher unbekannten Urheber den Schädling angewiesen, sich und alle Spuren zu löschen.
Vor wenigen Tagen hatten Sicherheitsexperten mit Flame einen neuen Spionage-Schädling entdeckt, der zum Cyberangriff auf diverse Länder verwendet wurde. Flame war in den Fokus der Sicherheitsexperten und Medien gelangt und dessen Existenz hatte auch für einige Unruhe gesorgt. Eventuell ist das alles für die bisher unbekannten Macher von Flame zu viel Publicity, denn sie haben den Schädling nun aus der Ferne angewiesen, sich selbst und alle Spuren von Rechner zu löschen, die er befallen hat.
Die Sicherheitsexperten von Symantec konnten diesen "Selbstmord-Befehl" an Flame abfangen, den die Angreifer an die noch existierenden Command-and-Control-Server (C&C) gesendet hatten. Über diese C&C-Server steht Flame in Kontakt mit seinen Entwicklern und empfängt Anweisungen. Über die C&C-Server haben die Angreifer demnach die Datei "browse32.ocx" an die von Flame infizierten Rechner übertragen. Diese Datei fungiere als "Uninstaller" für Flame und soll den Schädling komplett von den befallenen Rechnern löschen.
Neue Rätsel um Flame gibt es aber dennoch: Eigentlich enthält der Spionage-Schädling eine integrierte Routine, mit der er sich selbst von einem infizierten Rechner löschen kann. Unklar ist also, wieso die Angreifer mit "browse32.ocx" ein weiteres Selbstmord-Modul entwickelt und zum Einsatz gebracht haben. Das neue Selbstmord-Modul wurde laut Symantec auch am 9. Mai übertragen und damit einige Woche vor der eigentlichen, öffentlichkeitswirksamen Entdeckung des Schädlings.
G Data hat Flame (auch Flamer oder Skywiper) genauer analysiert und meldet am Montag, dass Flame mit einer Ausnahme keine wirklich neue Techniken einsetze. Verschleierungs-Taktiken, Spionage und Datendiebstahl seien bekannte Funktionen von Schadecode. Neu sei dagegen die raffinierte Ausnutzung von Microsoft-Zertifikaten, um sich in den Update-Mechanismus des Windows-Betriebssystems einzuschalten und so dann auf den Rechner zu gelangen. Aber auch G Data kann das größte Mysterium rund um Flame nicht klären: Weiterhin unbekannt bleibt also, wer Flame entwickelt hat und von den Informationen profitiert, die der Schädling sammelt. Dabei wird beispielsweise der Inhalt der gesamten Festplatte des infizierten Rechners ausgespäht. Außerdem erstellt Flame auch Screenshots vom Bildschirm und schneidet Gespräche mit, die über das im Rechner integrierte Mikrofon getätigt werden.
Die Sicherheitsexperten von Bitdefender hatten kurz nach der Entdeckung von Flame mit BitDefender Removal Tool Trojan.Flamer.A/B ein Gratis-Tool veröffentlicht, das überprüft, ob der Rechner von der Spionage-Malware Flame befallen worden ist und diese gegebenenfalls beseitigt.
Kommentare zu diesem Artikel (5)
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
1491902
Content Management by InterRed