Trojaner-Schnäppchen mit Windows-8-Unterstützung
Wer einen modernen Spionage-Trojaner braucht, muss gar nicht lange suchen: Das "Remote Administration Tool" Xtreme RAT wird über eine öffentliche, bei Google gehostete Seite zum Kauf angeboten.
- Ronald Eikenberg
Während einige Antivirenhersteller mit Microsofts neuestem Betriebssystem noch Probleme haben, ist die Cybercrime-Community schon voll auf den Windows-8-Zug aufgesprungen. So wird etwa auf einer bei Google gehosteten Site für 40 Euro ein bereits Windows-8-kompatibles "Remote Administration Tool" namens Xtreme RAT angeboten – kostenlose Updates inklusive.
Die Liste der eingebauten Funktionen macht deutlich, dass es dem Entwickler keineswegs darum ging, ein Werkzeug zur komfortablen Fernadminstration entfernter Rechner zu programmieren. Das Tool enthält unter anderem einen Keylogger, der aufgezeichnete Tastatureingaben auf einem beliebigen FTP-Server ablegt und kann Passwörter aus allen namhaften Browsern auslesen.
Darüber hinaus kann Xtreme RAT den Bildschirminhalt an den "Admin" übertragen sowie Webcam und Mikrofon anzapfen. Der Entwickler wirbt damit, dass sein Tool die Data Execution Prevention (DEP) austricksen kann und in der jüngsten Version besser mit sogenannten Cryptern zusammenarbeitet – das sind spezielle Programme, die ausführbare Dateien verändern, um die Erkennung durch Virenscanner zu erschweren. Schwer vorstellbar, was derartige Funktionen in einem legitimen Fernverwaltungsprogramm zu suchen haben sollen.
Auch die Antivirenprogramme sind der Meinung, dass Xtreme RAT nicht so ganz koscher ist. Auf unserer virtuellen Maschine wurde von Xtreme RAT erstellte Server-Software sofort vom Windows Defender in die Quarantäne befördert. Bei VirusTotal schlugen 38 von 43 AV-Engines an. Darauf ist der Entwickler bereits vorbereitet: Für 100 Euro bietet er eine eine "Fully Undetectable"-Version (FUD) an, die angeblich nicht von Virenscannern erkannt wird. Kostenlose Updates sind in jedem Fall inklusive. Für 350 Euro kann man sogar den Quellcode kaufen.
Dass die Nutzer der "fernadminstrierten" Rechner erwartungsgemäß nicht immer so ganz einverstanden mit dem Einsatz des RAT sind, zeigt ein Bericht des AV-Herstellers Trend Micro: Demnach wurde Xtreme RAT kürzlich offenbar für einen Cyber-Angriff gegen die israelische Polizei eingesetzt, die nach der Entdeckung des Tools sicherheitshalber sämtliche Rechner vom Netz genommen haben sollen. (rei)
