Neue Rätsel

Spionage-Schädling Flame versucht Selbstmord zu begehen

Montag den 11.06.2012 um 12:26 Uhr

von Panagiotis Kolokythas

Flame erhält Befehl für Selbstmord
Vergrößern Flame erhält Befehl für Selbstmord
© istockphoto.com/barisonal
Der Spionage-Schädling Flame versucht offenbar alle Spuren von sich zu löschen. Jedenfalls haben die bisher unbekannten Urheber den Schädling angewiesen, sich und alle Spuren zu löschen.
Vor wenigen Tagen hatten Sicherheitsexperten mit Flame einen neuen Spionage-Schädling entdeckt, der zum Cyberangriff auf diverse Länder verwendet wurde. Flame war in den Fokus der Sicherheitsexperten und Medien gelangt und dessen Existenz hatte auch für einige Unruhe gesorgt. Eventuell ist das alles für die bisher unbekannten Macher von Flame zu viel Publicity, denn sie haben den Schädling nun aus der Ferne angewiesen, sich selbst und alle Spuren von Rechner zu löschen, die er befallen hat.

Die Sicherheitsexperten von Symantec konnten diesen "Selbstmord-Befehl" an Flame abfangen, den die Angreifer an die noch existierenden Command-and-Control-Server (C&C) gesendet hatten. Über diese C&C-Server steht Flame in Kontakt mit seinen Entwicklern und empfängt Anweisungen. Über die C&C-Server haben die Angreifer demnach die Datei "browse32.ocx" an die von Flame infizierten Rechner übertragen. Diese Datei fungiere als "Uninstaller" für Flame und soll den Schädling komplett von den befallenen Rechnern löschen.

Neue Rätsel um Flame gibt es aber dennoch: Eigentlich enthält der Spionage-Schädling eine integrierte Routine, mit der er sich selbst von einem infizierten Rechner löschen kann. Unklar ist also, wieso die Angreifer mit "browse32.ocx" ein weiteres Selbstmord-Modul entwickelt und zum Einsatz gebracht haben. Das neue Selbstmord-Modul wurde laut Symantec auch am 9. Mai übertragen und damit einige Woche vor der eigentlichen, öffentlichkeitswirksamen Entdeckung des Schädlings.

G Data hat Flame (auch Flamer oder Skywiper) genauer analysiert und meldet am Montag , dass Flame mit einer Ausnahme keine wirklich neue Techniken einsetze. Verschleierungs-Taktiken, Spionage und Datendiebstahl seien bekannte Funktionen von Schadecode. Neu sei dagegen die raffinierte Ausnutzung von Microsoft-Zertifikaten, um sich in den Update-Mechanismus des Windows-Betriebssystems einzuschalten und so dann auf den Rechner zu gelangen. Aber auch G Data kann das größte Mysterium rund um Flame nicht klären: Weiterhin unbekannt bleibt also, wer Flame entwickelt hat und von den Informationen profitiert, die der Schädling sammelt. Dabei wird beispielsweise der Inhalt der gesamten Festplatte des infizierten Rechners ausgespäht. Außerdem erstellt Flame auch Screenshots vom Bildschirm und schneidet Gespräche mit, die über das im Rechner integrierte Mikrofon getätigt werden.

Die Sicherheitsexperten von Bitdefender hatten kurz nach der Entdeckung von Flame mit BitDefender Removal Tool Trojan.Flamer.A/B ein Gratis-Tool veröffentlicht, das überprüft, ob der Rechner von der Spionage-Malware Flame befallen worden ist und diese gegebenenfalls beseitigt.

Montag den 11.06.2012 um 12:26 Uhr

von Panagiotis Kolokythas

Kommentieren Kommentare zu diesem Artikel (5)
  • Scasi 15:25 | 11.06.2012

    :idee: ist natürlich für Angriffsziele bei staatlichen Stellen im Iran u.ä. attraktiven Reisezielen 'ne richtig schicke Idee! :wegmuss:

    Antwort schreiben
  • deoroller 15:07 | 11.06.2012

    Zitat: kalweit
    Vielleicht ist das Schadprogramme außer Kontrolle geraten - d.h. es hat Rechner befallen, für die es gar nicht bestimmt war. In so fern würde es schon Sinn machen, alle Spuren zu beseitigen.


    Die sollten wieder zu den alten Methoden greifen.
    http://www.finefin.com/blog//uploads/2009/08/ghaase-quo-vadis-bundestrojaner.jpg

    Antwort schreiben
  • kingjon 13:57 | 11.06.2012

    Vielleicht haben die Macher ja bemerkt das man sie durch den Virus zurück verfolgen kann und haben das Suicid-Modul gleich nachgeschoben, das würde auch erklären warum dies so früh geschehen ist?
    Aber das führt alles ins Reich der Spekulation....

    Gruß kingjon

    Antwort schreiben
  • kalweit 13:24 | 11.06.2012

    Vielleicht ist das Schadprogramme außer Kontrolle geraten - d.h. es hat Rechner befallen, für die es gar nicht bestimmt war. In so fern würde es schon Sinn machen, alle Spuren zu beseitigen.

    Antwort schreiben
  • Scasi 13:03 | 11.06.2012

    Spionage-Schädling Flame versucht Selbstmord zu begehen

    Eventuell ist das alles für die bisher unbekannten Macher von Flame zu viel Publicity, ...

    Das neue Selbstmord-Modul wurde laut Symantec auch am 9. Mai übertragen und damit einige Woche vor der eigentlichen, öffentlichkeitswirksamen Entdeckung des Schädlings.

    netter Widerspruch - stellt sich die Frage, ob die "unbekannten Macher" von der kommenden Publicity wussten, zum Ende ihres "Projektes" schlampig wurden oder aber einfach nur wollten, dass :flame: nun entdeckt und der breiten Öffentlichkeit bekannt wird (z.B. um von neuem noch unbekannten Schabernack abzulenken)!?

    Antwort schreiben
1491902