Trojaner verbreitet sich über neue Windows-Lücke
Ein gewiefter Trojaner infiziert Systeme über USB-Sticks und nutzt statt Autorun-Funktionen eine bislang unbekannte Lücke. Vermutlich wurde der Trojaner zur Spionage auf Prozessleitsystemen von Siemens entwickelt.
- Daniel Bachfeld
Berichten von Antivirenspezialisten zufolge verbreitet sich ein neuer Trojaner über USB-Sticks und nutzt dabei offenbar eine bislang unbekannte Lücke in Windows aus. Laut Analysen des weißrussischen AV-Herstellers VirusBlokAda schafft es der Trojaner, ein vollständig gepatchtes Windows-7-System (32 Bit) zu infizieren, ohne auf übliche Autostart-Hilfsmittel beim Anstecken des Sticks wie autorun.inf zurückgreifen zu müssen. Vielmehr nutzt der Schädling einen Fehler in der Verarbeitung von Verknüpfungen (.lnk-Dateien): Bei der Anzeige des dazugehörigen Icons etwa im Windows Explorer startet ohne weiteres Zutun des Anwenders Schadcode.
Der Trojaner nutzt dies, um zwei Treiber mit Rootkit-Funktionen im System zu installieren, die anschließend seine weiteren Tätigkeiten im System verbergen sollen. Interessanterweise sind beide Treiber mit einem Code-Signing-Key des Herstellers RealTek unterschrieben und lassen sich so ohne Warnung im System installieren. Erst kürzlich hatte der AV-Hersteller F-Secure darauf hingewiesen, dass immer mehr digital signierte Malware für Windows kursiert. Teilweise werden Entwicklern dafür sogar die digitalen Schlüssel gestohlen.
Untersuchungen des Malware-Analysten Frank Boldewin zufolge handelt es sich jedoch nicht um einen Allerweltstrojaner, der irgendwelche Passwörter von Anwendern sammeln soll. Vielmehr spioniert der Schädling offenbar gezielt Systeme für Prozessleittechnik und deren Visualisierung aus. Vermutlich dürfte er deshalb auch keine größere Verbreitung finden.
Boldewin stieß bei seiner Untersuchung auf Datenbankabfragen des Trojaners, die auf das SCADA-System WinCC von Siemens deuten. Ein "normaler" Malware-Programmierer hätte solch eine Leistung nicht zustande gebracht, erläuterte Boldewin in einer E-Mail an heise Security. "Da sehr viele Industrieunternehmen dieses SCADA-System von Siemens weltweit einsetzen, ist davon auszugehen, dass die Angreifer Industriespionage und möglicherweise sogar Spionage im Regierungsumfeld beabsichtigten", so Boldewin weiter. Frank Boldewin ist auch der Autor des Artikel "Zeig mir das Bild vom Tod" im Rahmen der Reihe "Tatort Internet".
Microsoft ist über die Schwachstelle informiert, hat aber offenbar noch Probleme, es nachzuvollziehen. Nach Angaben von Andreas Marx von AV-Test ist nämlich jede .lnk-Datei mit der ID des gerade infizierten USB-Sticks verknüpft. Somit lassen sich die bislang gefundenen Samples des Trojaners nicht ohne Weiteres auf einem Windows-System zum Laufen bringen – erst im Debugger OllyDbg und mit einigen Änderungen des Codes startet die Malware.
(dab)
