Flame kam angeblich als Windows-Update aufs System

Laut Antivirenexperten konnte der Super-Spion Flame über Windows Update andere Rechner im gleichen Netz infizieren. Darüber hinaus wurden Details über die Ausmaße des Botnets bekannt.

In Pocket speichern vorlesen Druckansicht 267 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Während der noch andauernden Untersuchung des Spionage-Trojaners Flame hat der Virenexperte Costin Raiu von Kaspersky Lab eine gleichermaßen spannende wie besorgniserregende Entdeckung gemacht: Flame konnte andere Rechner im Netzwerk offenbar über Windows Update infizieren.

Das gefälschte Windows-Update war mit einem gültigen Microsoft-Zertifikat signiert.

(Bild: Costin Raiu)

Laut Raiu ist ein Flame-Modul namens Gadget dazu in der Lage, als Man-in-the-Middle anderen Rechnern im gleichen Netzwerk manipulierte Update-Pakete unterzujubeln. Ein konkretes Paket hieß WuSetupV.exe und war mit einem Zertifikat signiert, das von der "Microsoft Enforced Licensing Registration Authority CA" ausgestellt wurde – einer Sub-CA von Microsofts Root Authority. Ein weiterer Tweet des Virenexperten deutet darauf hin, dass Flame die Updates über einen virtuellen Server namens MSHOME-F3BE293C im Netzwerk verteilt hat.

Microsoft hatte bereits bestätigt, dass die Flame-Entwickler gültige Microsoft-Zertifikate ausstellen konnten. Unklar ist derzeit noch, ob Windows das Flame-Update tatsächlich klaglos akzeptiert hat. Hierzulande dürften die gefälschten Update-Pakete jedoch ohnehin keine Verbreitung gefunden haben. Laut Raiu wird das Gadget-MITM-Modul nur aktiv, wenn die Zeitzone auf GMT+2 und höher eingestellt ist – also östlich unserer Zeitzone.

Außerdem hat Kaspersky weitere Details zu der Botnetz-Infrastruktur hinter Flame veröffentlicht. Demnach haben die Flame-Betreiber mindestens 15 Kommandoserver genutzt, die für jeweils über 50 Opfer zuständig waren. Laut dem Bericht gingen wenige Stunden nach den ersten Veröffentlichungen zu Flame bei dem Botnetz "die Lichter aus".

Flame hat vor allem Rechner mit Windows XP und Windows 7 befallen – letzteres allerdings nur in der 32-bit-Version.

(Bild: Kaspersky)

Zur Registrierung der Domains nutzten die Betreiber zahlreiche falsche Identitäten. Die Server standen laut Kaspersky unter anderem in Deutschland, den Niederlanden, Großbritannien, der Schweiz, Hong Kong und der Türkei. Die meisten Opfer nutzten ein 32-bittiges Windows 7, darauf folgt XP mit 45 Prozent. Unter der 64-Bit-Ausgabe von Windows 7 läuft Flame nicht.

Das Unternehmen konnte nach eigenen Angaben zahlreiche der Domains auf ein Sinkhole umleiten, wodurch die infizierten Systeme ihre Daten fortan bei Kaspersky ablieferten. Bei den Daten soll es sich vor allem um PDF- und Office-Dokumente, aber auch um AutoCAD-Dateien, also technische Zeichnungen, gehandelt haben. (rei)