Zyankali-Kapsel für Flame

In der vergangenen Woche haben einige der noch aktiven Command-and-Control-Server (C&C-Server) eine spezielle Kommando-Datei mit dem Namen browse32.ocx an die von ihnen kontrollierten, mit dem Super-Spion Flame infizierten Rechner geschickt. Diese Datei funktioniert wie ein Uninstaller und entfernt alle Komponenten des Trojaners von der Festplatte, einschließlich sich selbst. Um eine Wiederherstellung und Analyse der Dateien zu verhindern, überschreibt das Modul sie anschließend mit Zufallszeichen, wozu es einen eigenen Zufallsgenerator mitbringt.

Der Anti-Viren-Spezialist Symantec konnte das Modul mit Hilfe eines eigens für Flame-C&C-Server aufgestellten Honeypots auffangen und untersuchen. Auf normalen Clients hätte sich die Datei zusammen mit allen Spuren des Flame-Trojaners vernichtet.

Flame wurde erst Ende Mai von den Viren-Fahndern entdeckt. Interessant ist das Erstellungsdatum des Selbstmord-Moduls: Es ist auf den 9. Mai 2012 datiert, nur wenige Wochen vor der Bekanntwerdung. Auch dass überhaupt eine separate Kommando-Datei verwendet wurde, macht die Spezialisten stutzig, da der Flame-Code selbst eine Komponente namens SUICIDE enthält, die die gleichen Funktionen wie browse32.ocx ausführt. Eine Erklärung für das neue Modul suchen die Viren-Forscher noch.

Flame zählt zu den komplexesten bislang gefundenen Trojanern und ist das erste bekannte Spionage-Programm, das zur Verbreitung die Update-Funktion von Windows benutzt. Es kopiert von infizierten Rechnern E-Mails und Dateien, nutzt angeschlossene Mikrofone und Kameras zum Abhören und Überwachen und zeichnet Screenshots, Tastatureingaben und Netzwerkverkehr auf. Die Verbreitung war jedoch begrenzt – Flame fand sich hauptsächlich auf Rechnern im Nahen Osten –, was die Entdeckung wahrscheinlich so lange hinausgezögert hat. (rop)