Datenspion

Stuxnet-Bruder Duqu schreckt Europa

Mittwoch den 19.10.2011 um 11:25 Uhr

von Benjamin Schischka

Bildergalerie öffnen Duqu ist mit Stuxnet verwandt
© Polylooks
Der neue Trojaner von den Stuxnet-Machern spioniert wohl schon seit fast einem Jahr europäische Rechner aus. Wahrscheinlich bereitet er einen Angriff vor.
Erst vor wenigen Tagen wurde der Sicherheitsspezialist Symantec auf die neue Bedrohung aufmerksam. Der Duqu (sprich: dyü-kyü) getaufte Schädling erinnert frapierend an Stuxnet und soll sich bereits in Computern in Europa eingenistet haben. Stuxnet sorgte vor rund einem Jahr für Aufruhr: Er manipulierte unter anderem Steuerungsrechner iranischer Atomaufbereitungsanlagen .

Der Name Duqu leitet sich von der Eigenart des Schädlings ab, Dateien mit der Endung „DQ“ zu erstellen. Der Code von Duqu sei teilweise identisch zu Stuxnet, berichtet Symantec. Das bedeute, dass er aus der gleichen Quelle stammen müsse wie Stuxnet. Die Autoren müssten aber wenigstens Zugriff auf den Stuxnet-Code gehabt haben.

Duqu verfolge aber ein anderes Ziel. Symantec bezeichnet Duqu als eine Art Aufklärer für folgende Attacken. Die Schadsoftware soll wohl Daten über die nächsten Angriffsziele sammeln, um die Angriffe besser abzustimmen. Weil Duqu sich nicht selbst repliziert, handelt es sich auch um keinen Wurm. In diesem Punkt unterscheidet sich Duqu also deutlich von Stuxnet. Duqu ist vielmehr ein Trojaner, der seinen Schöpfern Zugriff aus der Ferne auf die infizierten Systeme gewähren soll. Nachdem Duqu sich auf bereits infizierten Systemen eingerichtet habe, habe er eine Keylogger nachgeladen und auch anderweitig versucht, sensible Daten zu klauen. Symantec glaubt, dass Duqu bereits seit Dezember 2010 sein Unwesen treiben könnte. Der 1. September 2011 gilt aber als gesichertes Datum.

Der Server, mit dem Duqu kommuniziert, sei vor wenigen Tagen immer noch aktiv gewesen. Die Kommunikation erfolgt über versteckte Daten in JPG-Dummies. Nach 36 Tagen löscht sich Duqu übrigens selbst, berichtet Symantec. Wo der Server stehe und wer die Urheber sein könnten, sagt Symantec nicht.

Mittwoch den 19.10.2011 um 11:25 Uhr

von Benjamin Schischka

Kommentieren Kommentare zu diesem Artikel (8)
  • kalweit 11:09 | 20.10.2011

    Zitat: Hascheff
    Ich denke, der TO meint weniger die Sorge um den eigenen Rechner als die Sorge um unsere Infrastrukturen.


    Hat er aber so nicht geschrieben. Wenn man insgesamt die Berichte zu dem "Supervirus" verfolgt, scheinen die mehr oder minder alle ihren Ursprung bei Symantec zu haben. Ein Schelm, der...

    Antwort schreiben
  • Hascheff 01:37 | 20.10.2011

    Zitat: chipchap
    Kein Wartenrechner ist mit der Außenwelt verbunden,

    Doch, und zwar über einen unsicheren Kanal.

    @ kalweit: Ich denke, der TO meint weniger die Sorge um den eigenen Rechner als die Sorge um unsere Infrastrukturen.

    Zur Frage: Man muss sich grundsätzliche Sorgen um die Perspektiven unserer Gesellschaft machen.

    Antwort schreiben
  • chipchap 14:10 | 19.10.2011

    Zitat: Benjamin Schischka
    Andererseits hat Stuxnet sein Unwesen in einer Atomanlage getrieben.

    Im Traum vielleicht.
    Kein Wartenrechner ist mit der Außenwelt verbunden, mit dem Internet schon gar nicht.

    Antwort schreiben
  • kalweit 12:24 | 19.10.2011

    Zitat: Benjamin Schischka
    Andererseits hat Stuxnet sein Unwesen in einer Atomanlage getrieben.


    Ich betreibe mit meinem Rechner keinen Atomreaktor. Ich kenne auch keinen, der das in seinen vier Wänden tut. Im konkreten Fall werden wohl Äpfel mit [lt]Birnen[/lt] [lt]Steinen[/lt] heißer Luft verglichen.

    Antwort schreiben
  • Benjamin Schischka 12:16 | 19.10.2011

    Zitat: kalweit
    ...nicht die Bohne. Ich denke mal, wir haben im Windowsbereich über die Jahre alles an Angriffsmethoden gesehen, was machbar ist. In sofern ist jede Panik unangebracht.


    Das Windows-User viel gewohnt sind ist ein Argument. Andererseits hat Stuxnet sein Unwesen in einer Atomanlage getrieben. Ein Unfall hätte womöglich schlimme Folgen für die ganze Region...

    Antwort schreiben
1148915