Kaspersky lästert über McAfees "schäbige Ratte"

Vor zwei Wochen schlug McAfee Alarm und warnte vor der "Operation Shady RAT", in der insgesamt 72 Behörden und Organisationen in 14 Ländern gehackt und ausspioniert worden seien. Dieser Report sei jedoch Panikmache, die absichtlich verdreht dargestellte Informationen verbreite, kontert jetzt Eugene Kaspersky auf seine bekannt deftige Art.

Der Schädling sei "ein ziemlich lahmes Stück Software, das ein Anfänger geschrieben haben könnte", poltert der Chef der russischen Antiviren-Schmiede. Den Marktwert des Schädlings verortet er bei maximal ein paar hundert Dollar; schon für 2000 bis 3000 Dollar könne man auf dem schwarzen Markt Schad-Software kaufen, die sehr viel mehr könnte. Und Schad-Software wie etwa Stuxnet oder das TDL-Rootkit seien eine viel größere Gefahr für Regierungen, Firmen und Organisationen. Außerdem könne man den McAfee-Analysten nicht einmal zugestehen, dass sie das alle gar nicht wüssten, begründet Kaspersky seine harten Anschuldigungen.

In der Tat zeigen selbst McAfees Beschreibungen von Shady Rat keine besonderen Finessen auf. Auf der anderen Seite wartet insbesondere das TDL-Rootkit immer wieder mit neuartigen Techniken auf, die selbst alt gediente Malware-Analysten in Erstaunen versetzen. So klinkt die aktuelle Version TDL4 etwa ein eigenes verschlüsselndes Dateisystem in den Windows-Kern ein, um sich vor neugierigen Augen zu verstecken. Eine Live-Analyse dieses TDL4-Rootkits findet sich in der Tatort-Internet-Folge Operation am offenen Herzen, die in der aktuellen c't 18/11 zu lesen ist.

Andererseits ist etwa der von Kaspersky angeführte hohe Verbreitungsgrad von TDL4 kein gutes Maß für die Gefährlichkeit eines Schadprogramms, das für Spionage-Angriffe auf Firmen und Regierungen eingesetzt wird. Auch die Kritik, dass der Verbreitungsweg via E-Mail ein alter Hut sei – moderne Bot-Netze nutzen meist Drive-by-Downloads von Web-Seiten – zeigt, dass Kaspersky in seiner Argumentation verschiedene Angriffsszenarien durcheinander wirft. (ju)