Font-Installation durch Gauss-Trojaner wirft Fragen auf
Zur Nutzlast des mutmaßlich staatsfinanzierten Banking-Trojaners Gauss gehört ein suspekter TrueType-Font. Wozu er dient, ist bislang unbekannt – aber es gibt diverse Theorien.
- Gerald Himmelein
Fast ein Jahr lang blieb der Banking-Trojaner "Gauss" unentdeckt. Am Donnerstag gingen Sicherheitsforscher von Kaspersky Lab mit detaillierten Informationen an die Öffentlichkeit. Gefunden hatten sie die Malware auf der Suche nach Artverwandten des 20-MByte-Trojaners "Flame", dem Gauss strukturell stark ähnelt.
Gauss scheint aber deutlich weitere Verbreitung gehabt zu haben als Flame, bis die Urheber im Juli die Kontrollserver des Trojaners abschalteten. Von Flame sind 700 gezielte Infektionen bekannt; bei Gauss zählte Kaspersky 2500 befallene Rechner und geht davon aus, dass insgesamt mehrere Zehntausend PCs infiziert wurden.
Noch ist unbekannt, wie Gauss überhaupt auf die befallenen Rechner kam. Bekannt ist lediglich, dass der Trojaner sich auch über USB-Sticks weiterverbreitete und sich nach 30 Einsätzen selbst löschte. Auf befallenen Rechnern wurde zudem ein bisher unbekannter Font namens "Palida Narrow" gefunden.
(Bild: Kaspersky Lab)
Mit "Narrow" bezeichnen Typografen meist schmal laufende Fonts; bei Palida Narrow handelt es sich jedoch um einen Serifen-Font mit normaler Breite. Der Font behauptet von sich, er stamme von Microsoft. Costin Raiu von Kaspersky Lab zeigt die Font-Eigenschaften derzeit als Hintergrundbild in seinem Twitter-Stream.
Von Flame ist bekannt, dass der Trojaner von den Geheimdiensten der USA und Israel eingesetzt wurde. Da Flame und Gauss laut Kaspersky Lab sogar Code teilen, liegt ein gemeinsamer Urheber nahe. Die Urheber von Flame sind auch für Duqu verantwortlich – ein Trojaner, der Rechner über eine Sicherheitslücke im Font-Rendering von Windows befiel.
Einige Forscher spekulieren daher, dass Palida Narrow womöglich seine Schadfunktion nur unter speziellen Bedingungen ausführt, etwa durch Kerning-Befehle bei der Anzeige einer bestimmten Textfolge. Raiu zufolge hat Kaspersky den Font bereits eingehend analysiert, ohne etwas Verdächtiges zu finden. Andererseits mag Kaspersky die Möglichkeit nicht vollständig ausschließen.
Andere nehmen an, dass Palida Narrow den Entwicklern des Trojaners als "Marker" diente – eine geschickt programmierte Webseite kann ohne Weiteres herausfinden, ob ein bestimmter Font installiert ist. Das Kryptografie-Labor der TU Budapest hat bereits eine solche Seite entwickelt.
Genaueres wird man vermutlich erst herausfinden, wenn es Sicherheitsforschern gelingt, den eigentlichen Kern von Gauss zu entschlüsseln, also die Nutzlast. Erst dies kann den tieferen Sinn hinter dem Einsatz des Trojaners offenlegen. Wie Stuxnet, Flame und Duqu wurde auch Gauss sehr kontrolliert eingesetzt; dies erklärt die stark verspätete Erkennung durch Virenschutzprogramme. (ghi)
