Trojanisches PferdVirus Duqu alarmiert IT-Sicherheitsexperten

Auf Rechnern mehrerer Firmen ist eine Schadsoftware gefunden worden, die Teile des Codes von Stuxnet nutzt. Was Duqu ausspionieren soll, ist den Experten noch nicht klar. von dpa

Auf mehreren Computern in Europa ist eine Art kleiner Bruder des Computerschädlings Stuxnet entdeckt worden. Die neue Schadsoftware, die den Namen Duqu bekam, ist ein Trojaner, der Entwickler von Industrieanlagen ausspähen sollte, berichtet die IT-Sicherheitsfirma Symantec in einer Analyse der Software. Duqu enthalte Teile des Codes von Stuxnet, des Virusprogramms, das wahrscheinlich das iranische Atomprogramm sabotieren sollte. Der Autor von Duqu habe offensichtlich Zugang zum Quellcode von Stuxnet besessen, glauben die Autoren der Analyse. Jedoch sei die "Nutzlast" des Trojaners komplett anders als bei Stuxnet – der Programmteil also, der festlegt, was bei dem Angriff gestohlen oder zerstört wird.

"Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen Attacke", schreiben Experten von Symantec in ihrer Analyse. Der Trojaner sammle Daten von Computern und übermittle sie an seine Entwickler. Duqu sei auf den Computern von sieben oder acht europäischen Unternehmen gefunden worden, die an der Entwicklung von Industrieanlagen-Software beteiligt seien, sagte ein Symantec-Analyst dem Online-Dienst CNET.

Anzeige

Symantec schreibt, das Programm könne sich nicht selbst verfielfältigen, sei also kein Wurm, der sich selbständig verbreitet. Außerdem sei es maßgeschneidert für ganz bestimmte Ziele. Wobei es möglich sei, dass andere Firmen und Organisationen mit anderen Varianten des Programms angegriffen würden, die man bislang noch nicht entdeckt habe.

Duqu selbst richtet dabei noch keinen Schaden an, sondern dient dazu, sich einzuschleichen und andere Programme nachzuladen. In der Analyse heißt es: "Die Angreifer nutzten Duqu, um einen Infostealer zu installieren, der Tastenanschläge aufzeichnen kann und Systeminformationen sammelt." Offensichtlich hätten die Angreifer in den befallenen Systemen nach Informationen gesucht, um künftige Attacken zu planen.

Die Software sei so programmiert, dass sie sich nach 36 Tagen automatisch von den Rechnern entfernt: "Wir wissen bisher nicht, worauf genau sie es abgesehen hat." Die erste Attacke habe wahrscheinlich bereits im Dezember 2010 stattgefunden.

Die IT-Sicherheitsfirma McAfee glaubt, dass mit Duqu auch Unternehmen angegriffen werden können, die digitale Zertifikate zur Autorisierung von Websites und Software ausgeben. Mit gestohlenen Zertifikaten kann man sich im Netz für jemand anderen ausgeben oder gefährliche Programme legal wirken lassen.

Die Herkunft des Programmes ist unklar. Symantec beobachtete lediglich, dass die abgefischten Daten an einen Server in Indien geschickt wurden. Außerdem habe eine Variante des Trojaners ein gültiges Zertifikat benutzt, das auf eine Firma in Taipeh in Taiwan ausgestellt war.

Zur Startseite
 
Leserkommentare
  1. Mit den Nachjustierungen der Trojaner auf 64bit-Technologien ist es ja nun eindeutig, dass die Aussagen der Ladesministerien eine Lüge sind.

    Sabine Leutheusser-Schnarrenberger:
    Ihr Einsatz ist gefragt!

    Handeln Sie.

    ==> Drupi

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Was soll Duqu mit dem Staatstrojaner gemeinhaben, außer dass beides Trojaner sind?

    Paranoia und eilige Fehlschlüsse sind hier fehl am Platz...

  2. Wie das Münchner Landesministerium mit Recherchierenden in der Vergangenheit umging sieht man hier:

    http://winfuture.de/news,...

    Da soll noch jemand mir erklären, inwieweit man an der Aufklärung zu alldem interessiert sei, und man "...tut alles Erdenkliche, um die Angelegenheit restlos aufzuklären..."

    Alles Lüge.
    Man will nur vertuschen.

    aus Berlin ==> Drupi

  3. Was soll Duqu mit dem Staatstrojaner gemeinhaben, außer dass beides Trojaner sind?

    Paranoia und eilige Fehlschlüsse sind hier fehl am Platz...

    Eine Leserempfehlung
  4. Das findest Du hier:

    um 14:15 h unter:
    http://winfuture.de/news,...

    Kaspersky findet neue Version des Staatstrojaners. Die Malware-Experten des Security-Unternehmens Kaspersky haben eine weitere Version des Staatstrojaners ausfindig gemacht. Diese enthält deutlich weitergehende Optionen als die bisher bekannten Spionage-Programme, die auf Landesebene eingesetzt wurden.

    Die Kaspersky-Analysten Tillmann Werner und Stefan Ortloff sprechen dabei vom "großen Bruder" des bekannten Backdoor-Trojaners, denn die entschlüsselte Datei enthält jetzt sechs Komponenten, die jeweils verschiedene Aufgaben erfüllen. Dabei kann der Trojaner nicht nur unter 32-Bit-Versionen von Windows aktiv werden, sondern auch auf 64-Bit-Versionen.

    Die vom Chaos Computer Club (CCC) gezeigten Staatstrojaner waren in erster Linie darauf ausgelegt, Telefonate via Skype abzuhören. "Die von uns analysierte Version zeigt, dass es die Software neben Skype auch auf Web-Browser, verschiedene Instant Messenger und VoIP-Software wie ICQ, MSN Messenger, VoipBuster und Yahoo Messenger abgesehen hat", sagte Werner.

    Grüße aus Berlin ==> Drupi

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Daher frage ich noch einmal:
    Was hat Duqu mit dem Staatstrojaner gemein, bzw. wieso können Sie sicher sein, dass Duqu die neue Version des "Staatstrojaners" ist?

    Duqu ist, im Gegensatz zum "Staatstrojaner" ein Stuxnet-Derivat. Es handelt sich hierbei um zwei unterschiedliche Trojaner. Aus den Medien geht sogar hervor, dass Duqu in seinem Leistungsumfang ziemlich eingeschränkt ist, während der Staatstrojaner eher vom Umfang einem BO2k entspricht.

  5. :-)

    Drupi

    Reaktionen auf diesen Kommentar anzeigen

    Was soll ein Wurm, der auf die Manipulation von Anlagensteuersoftware von Siemens ausgerichtet ist, mit einem Überwachungstrojaner zu tun haben?

  6. Daher frage ich noch einmal:
    Was hat Duqu mit dem Staatstrojaner gemein, bzw. wieso können Sie sicher sein, dass Duqu die neue Version des "Staatstrojaners" ist?

    Duqu ist, im Gegensatz zum "Staatstrojaner" ein Stuxnet-Derivat. Es handelt sich hierbei um zwei unterschiedliche Trojaner. Aus den Medien geht sogar hervor, dass Duqu in seinem Leistungsumfang ziemlich eingeschränkt ist, während der Staatstrojaner eher vom Umfang einem BO2k entspricht.

  7. Was soll ein Wurm, der auf die Manipulation von Anlagensteuersoftware von Siemens ausgerichtet ist, mit einem Überwachungstrojaner zu tun haben?

    Antwort auf "Noch Fragen?"
    Reaktionen auf diesen Kommentar anzeigen
    • dth
    • 19. Oktober 2011 17:23 Uhr

    Auch Stuxnet hat ja erst einmal "normale" Rechner befallen und auf Teilen von Anlagensteuerungen laufen auch oft "normale" Betriebssyteme. Folglich gibt es da Überlappungen in der Funktionalität und im vorliegenden Wurm wurden nun eben Teile von Stuxnet entdeckt.
    Also stecken wohl die selben Leute dahinter oder welche, die mit diesen irgend etwas zu tun haben.
    Viel sagt das nicht aus, außer, dass Angriffe wie Stuxnet wohl in Zukunft öfter vorkommen werden, wenn hier schon jemand den nächsten vorbereitet.

  8. Haste kein Windows? Haste keinen Bundestrojaner!

    Warum?

    99,9% der Windows User arbeiten ständig unter Adminrechten, anstatt sich einen Standarduseracount anzulegen mit dem sie arbeiten, und Systemänderung nur mit dem Adminacount durchführen.Nee wär ja zu sicher.

    Wenn man dann noch alle Acount mit einem gescheiten Kennwort versieht kann man den Bundestrojaner aussperren, weil von außen kann er sich nicht installieren, und die dummen Gesichter der Ermittlungsbeamten möchte ich sehen die vor dem Rechner stehen und drauf zugreifen können, weil alles Brav geschützt ist.

    noch besser ist es diese Strategie mit einem Unixsystem zufahren, weil es den Bundestrojaner ja ehh nur Windows 32Bit/64Bit gibt.

    Fazit haste keine Windows und Hirn - Haste keine Problem mit dem Bundestrojaner

    Bitte diskutieren Sie sachlich. Danke, die Redaktion/mk

    Reaktionen auf diesen Kommentar anzeigen
    • strlcp
    • 19. Oktober 2011 19:19 Uhr

    schön, dass Sie sicher sein können.
    wo doch sonst in der IT der Satz gilt:
    "das einzig sichere System ist ein abgeschaltettes."

    aber Sie haben ja Hirn, wie Sie selbst sagen.

    • c2j2
    • 19. Oktober 2011 22:59 Uhr

    "zurückgeblieben" im IT-Wissen, so von wegen "Admin darf alles unter Windows". Seit Vista hat sich das geändert.

    Und für ganz so doof sollte man Leute nicht halten, die einen Trojaner installieren möchten und Zugriff zum Rechner haben. Die bekommen das hin, egal wieviele Stellen Dein Passwort hat.

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE, dpa
  • Schlagworte Computer | Online-Dienst | Software | Stuxnet | Atomprogramm | Autor
Service