Hackerszene trojanisiert Fernwartungswerkzeug
Hacker nutzen das Fernwartungswerkzeug NetWire als Trojaner. NetWire überwacht Windows-PCs und auch Rechner mit Mac OS X, Linux und Solaris. Die Antivirenhersteller reagieren, indem sie das Programm zur Malware deklarieren.
- Gerald Himmelein
Hersteller World Wired Labs preist NetWire als erweiterte Fernwartungssoftware an. Der Server läuft unter Windows, diversen Linux-Varianten, Mac OS X und Solaris, der Client nur auf Windows-PCs. Die Basisversion kostet 65 US-Dollar, die mit Add-ons erweiterbare Pro-Version 105 US-Dollar; den Preis für die Advanced-Version gibts auf Anfrage.
So weit, so schlicht. Doch schon die Zeile "Undetected" in der Preistabelle weist darauf hin, dass hier mehr im Gange ist: Der Hersteller verspricht, dass die Windows-Version von NetWire Advanced von keinem Virenscanner erkannt wird. Und schon sind wir in der Grauzone.
World Wired Labs beschreibt NetWire als zuverlässiges Werkzeug zur Fernwartung einer Unternehmensinfrastruktur, das keine Betriebssystemgrenzen sieht. Die Verbindung zwischen Client und Server wird per AES-Verschlüsselung geschützt und beschränkt sich auf einen einzigen TCP-Port. Andererseits bewirbt der Hersteller NetWire für "spezielle Fernzugriffanforderungen" – von Überwachung bis zur Kontrolle des Nachwuchses. Hierfür überwacht NetWire alle Prozesse und fertigt auch Screenshots an.
In einem Hackerforum wird das Programm ganz anders dargestellt. Da wird hervorgehoben, dass NetWire per Reverse Proxy durch jede Firewall und jeden Router durchkommt, dass es die Kennwörter aller Browser ausliest und der Keylogger ohne Administratorrechte läuft. Erweiterungen zum Ausspähen von TrueCrypt-Kennwörtern und Protokollieren von Instant-Messaging-Konversationen sind in Vorbereitung. Aus diesem Sichtwinkel mutiert das Fernwartungswerkzeug schnell zum Trojaner-Baukasten.
Dem Hersteller ist es gar nicht recht, dass sein Produkt in die dunklen Ecken des Internets abwandert. Bei jeder Erstellung eines Fernwartung-Hosts blendet NetWire zunächst einen Disclaimer ein. Mit einem Mausklick muss der Anwender bestätigen, dass er NetWire nicht zum unbefugten Zugriff auf andere Computer oder sonstige illegale Tätigkeiten verwendet.
Den Hacker, der NetWire in Foren als Multi-Plattform-Trojaner angepriesen hat, hat World Wired Labs schnell aus dem Affiliate-Programm geworfen. Das hindert andere nicht daran, in nichtöffentlichen Hackerforen spezielle "Crypter" anzubieten, die NetWire-Kompilate vor Virenschutzprogrammen verstecken sollen.
Da verwundert es wenig, dass das Fernwartungsprogramm mittlerweile ins Fadenkreuz der Antivirenhersteller geraten ist. Dr. Web bezeichnet NetWire als Kennwortdieb und führt es als "BackDoor.Wirenet.1". Andere Hersteller nennen die Software "TrojanSpy", "NetWired" und "NetWeird" (sic). VirusTotal zufolge wird die Windows-Variante der Standardausführung von NetWire derzeit von 16 Scannern erkannt, die Linux-Version von 6, die Solaris-Version von 4 und die Mac-Version von 9 Scan-Engines. Bizarrerweise wird der Windows-Client häufiger erkannt als die Hosts: Hier schlugen 26 von 42 Scannern Alarm – der Baukasten wird also als bösartiger gesehen als dessen Kompilate. (ghi)
