Auszug aus dem Gadget-Update
Auszug aus dem Gadget-Update (Bild: Kaspersky Lab)

Spionage-Trojaner Flame verbreitete sich über Microsoft-Update

Der Spionage-Trojaner Flame soll sich auch über Microsofts Updatesystem verbreitet haben. Zudem wurde eine umfassende Serverinfrastruktur identifiziert, die nach der Entdeckung von Flame sofort abgeschaltet wurde.

Anzeige

Analysen von Kaspersky Lab zufolge hat sich Flame unter anderem über Microsofts Updatefunktion verbreitet. Über eine Man-in-the-Middle-Attacke hat sich ein mit Flame infizierter Rechner in das Netzwerk integriert und manipulierte Updatepakete an andere Rechner verteilt sowie einen eigenen Updateserver eingerichtet. Über Microsofts Updatefunktion gelangte der Spionagetrojaner so auf andere Computer.

Flame behauptete, ein Update für die Gadget-Funktion von Windows bereitzustellen und verleitete Anwender so dazu, sich die Schadsoftware selbst auf den Rechner zu holen. Das Update war mit einem gefälschten Microsoft-Zertifikat unterzeichnet. Erst gestern hat Microsoft mitgeteilt, dass Flame gefälschte Microsoft-Zertifikate genutzt habe, um vorzugaukeln, bei Flame handele es sich um eine offizielle Software von Microsoft.

Die über die Updatefunktion verteilte Software wurde am 27. Dezember 2010 kompiliert und ist am 28. Dezember 2010 mit dem Zertifikat versehen worden. Flame soll vor allem Systeme mit Windows XP und Windows 7 befallen haben; Letztere aber nur in der 32-Bit-Version.

Botnetz mit mehr als 15 Servern

Neue Erkenntnisse hat Kaspersky Lab auch zur Botnetz-Infrastruktur, die von Flame verwendet wurde. So soll das Botnetz aus mehr als 15 Servern mit mehr als 80 Domains bestanden haben, die jeweils mehr als 50 Opfer attackiert haben. Zusammen mit Godaddy und OpenDNS hat Kaspersky Lab die Infrastruktur analysiert. Bei Godaddy waren viele der Domains registriert und OpenDNS half den Sicherheitsspezialisten dabei, die Daten der Spionagesoftware an Kaspersky Lab zu leiten.

Die Server standen unter anderem in Deutschland, in der Schweiz und den Niederlanden, in Großbritannien, Polen, der Türkei, Malaysia, Lettland und Hongkong. Für die über 80 Domains verwendeten die Angreifer falsche Identitäten und meldeten für gewöhnlich nur zwei bis drei Domains auf eine dieser Tarnidentitäten an. Nur in Ausnahmefällen gab es auch vier Domainanmeldungen für eine der Tarnidentitäten. Die Domainregistrierungen wurden zwischen 2008 und 2012 vorgenommen. Nur einige Stunden, nachdem erstmals über Flame berichtet worden war, gingen alle Botnetz-Server offline.

Den meisten Tarnidentitäten wurde als Adresse ein Wohnort im österreichischen Wien untergejubelt. Kaspersky Lab grübelt noch, weshalb gerade Wien so oft als falsche Anschrift angegeben wurde. Ferner wurden gefälschte Anschriften in Deutschland und Österreich angegeben. Einige der Adressen existieren gar nicht oder sind die Anschriften von Hotels, Läden, Organisationen oder Arztpraxen.

Weil Kaspersky Lab mittels Sinkhole an die Daten gelangt ist, die Flame gesammelt hat, gibt es auch dazu neue Erkenntnisse. So hat sich die Spionagesoftware vor allem für AutoCAD-Zeichnungen interessiert, was für technische Zeichnungen verwendet wird. Aber auch PDF- und Office-Dateien hat Flame gesammelt.

Mit den neuen Erkenntnissen sieht Kaspersky Lab die bisherige Vermutung untermauert, dass es sich bei Flame um eine der interessantesten und komplexesten Schadanwendungen handelt, die bisher entdeckt wurden.


dnl 07. Jun 2012

"Wenn es jemandem gelingt Viren oder sonstige Malware zu schreiben die sich auf allen...

dnl 07. Jun 2012

"Kriegen die Clients nicht irgendwie über ihre Domäne mitgeteilt, wo sie Updates saugen...

Rulf 06. Jun 2012

anscheinend hast du mein posting nicht ganz verstanden...ich war schon dafür, daß so ein...

der_wahre_hannes 06. Jun 2012

Farbmonitore bringen aber nur halb so viel Spaß, wenn der Text nicht so einen tollen...

Rulf 05. Jun 2012

wieso nur quellcode?...die bekommen sicher auch zertificate...zur not dann halt von...

Kommentieren



Anzeige

  1. CERT-Mitarbeiterin / CERT-Mitarbeiter
    IT-Dienstleistungszentrum Berlin, Berlin
  2. Softwareentwickler C++/C# (m/w)
    Vector Informatik GmbH, Stuttgart
  3. IT-Consultant (m/w)
    Media-Saturn-Holding GmbH, Ingolstadt
  4. Systemberater (m/w)
    ISGUS Vertriebs GmbH, Hamburg/Seevetal

 

Detailsuche


Spiele-Angebote
  1. Batman: Arkham Knight
    ab 49,00€ (Vorbesteller-Preisgarantie) - Release 23.06.
  2. NEU: The Elder Scrolls V: Skyrim Steam
    6,97€
  3. Homeworld Remastered Collection - [PC]
    29,99€ (Release 7.5.)

 

Weitere Angebote


Folgen Sie uns
       


  1. Raumfahrt

    Progress-Raumfrachter ist auf falschem Kurs

  2. BND-Affäre

    Opposition verlangt von Merkel Liste der NSA-Selektoren

  3. LG G4 im Hands On

    Hervorragende Kamera und edle Leder-Optik

  4. Skyworth

    Fernsehhersteller Metz wird chinesisch

  5. Boeing X-37B

    Neuer Flug für die US-Dauerdrohne

  6. Leistungsschutzrecht

    VG Media will Hunderte Millionen Euro von Google

  7. Windows 10

    Microsoft bezeichnet kostenloses Upgrade als Marketing

  8. Telefoniefunktion

    Whatsapp speichert Anrufe

  9. Dirt Rally

    Klassischer Motorsport im Early Access

  10. Netzpolitik

    Oettinger forciert Vorratsdatenspeicherung auf EU-Ebene



Haben wir etwas übersehen?

E-Mail an news@golem.de



Vindskip: Das Schiff der Zukunft segelt hart am Wind
Vindskip
Das Schiff der Zukunft segelt hart am Wind
  1. Volvo Lifepaint Reflektorfarbe aus der Dose schützt Radfahrer
  2. Munin Moderne Geisterschiffe brauchen keinen Steuermann
  3. Globales Transportnetz China will längsten Tunnel am Meeresgrund bauen

Everybody's Gone to the Rapture: Apokalypse in der Nachbarschaft angespielt
Everybody's Gone to the Rapture
Apokalypse in der Nachbarschaft angespielt
  1. Indiegame Sony bringt Journey in Full-HD auf die Playstation 4
  2. Alienation angespielt Zerstörungsorgie von den Resogun-Machern
  3. Axiom Verge im Test 16 Bit für Genießer

Android 5.1 im Test: Viel nützlicher Kleinkram
Android 5.1 im Test
Viel nützlicher Kleinkram
  1. Google EU-Wettbewerbsverfahren auch zu Android
  2. Lollipop Trage-Erkennung setzt Passwortsperre aus
  3. Google Android 5.1 bringt mehr Bedienungskomfort und Sicherheit

  1. die hälfte von 11 is als 6?

    flasherle | 17:51

  2. Re: Problem Gelegenheitsspieler

    Hotohori | 17:51

  3. Schlichtweg falsch!

    Neogine | 17:50

  4. Re: iWatch Pro und Kontra

    Trollfeeder | 17:49

  5. Re: Sieht ein bisschen wie Windows 8 aus...

    Seitan-Sushi-Fan | 17:47


  1. 17:36

  2. 17:35

  3. 17:30

  4. 17:25

  5. 17:18

  6. 16:46

  7. 16:45

  8. 16:36


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel