Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Trend Micro: Nordkorea nutzt geklauten Virenscanner mit Malware

Nach RedStar OS und dem eigenen Android-Tablet ist weitere kuriose Software aus Nordkorea aufgetaucht: Ein Virenscanner. Das abgeschottete Land nutzt dabei eine zehn Jahre alte Scan-Engine von Trend Micro.
/ Hauke Gierow
23 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Nordkorea hat einen eigenen Virenscanner gebaut. (Bild: Jung Yeon-Je/Getty Images)
Nordkorea hat einen eigenen Virenscanner gebaut. Bild: Jung Yeon-Je/Getty Images

Nordkorea soll eine eigene Antivirensoftware verwenden, die auf einem zehn Jahren alten Produkt der Sicherheitsfirma Trend Micro basiert. Wie die Sicherheitsfirma Check Point schreibt(öffnet im neuen Fenster), nutzt das Programm mit dem Namen SiliVaccine "große Codefragmente einer mehr als zehn Jahre alten Antivirus-Engine der Firma Trend Micro".

Check Point geht davon aus, dass die Entwickler entweder Zugriff auf den Quellcode von Trend Micro oder auf Bibliotheken gehabt haben. Der Code wurde neu kompiliert, dabei sollen Optimierungen zum Einsatz gekommen sein, die Trend Micro selbst nicht genutzt hat. Die Signaturdateien haben ein ähnliches Format wie bei der Originalsoftware, sie werden mit einer veränderten Version des SHA-1-Algorithmus gehasht.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Staatlich geprüfte Technikerin / Staatlich geprüfter Techniker (w/m/d) Bundesnachrichtendienst, Gablingen (öffnet im neuen Fenster)
Projekt Manager Produktion - Datenanalyse & Digitalisierung (m/w/d) Aptar Radolfzell GmbH, Radolfzell am Bodensee (öffnet im neuen Fenster)
Sales Manager / Vertriebsmitarbeiter (m/w/d) B2B-Software für die berufliche Bildung ergovia GmbH, Quarnbek (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) Staatliche Feuerwehrschule Geretsried, Geretsried (öffnet im neuen Fenster)
IT-Administrator*in GLS Gemeinschaftsbank e.G., Bochum (öffnet im neuen Fenster)
Duale Studenten Wirtschaftsinformatik (AWIS) mit Ausbildung zum Fachinformatiker (Anwendungsentwicklung) (w/m/d) Bausparkasse Mainz AG, Mainz (öffnet im neuen Fenster)
IT-Projektleiter/in (m/w/d) Digitalisierung, IT-Abteilung, Köln - BG ETEM - Berufsgenossenschaft Energie Textil Elektro Medienerzeugnisse, Köln (öffnet im neuen Fenster)
(Senior) Dynamics 365 Business Central Entwickler / ERP Consultant (m/w/d) in Nürnberg Schmitt + Sohn Aufzüge GmbH & Co. KG, Nürnberg (öffnet im neuen Fenster)

Illegal kopierte Version mit zusätzlicher Malware

Trend Micro bestätigte, dass es sich in diesem Fall um eine illegal kopierte Version der Software handelt. Die nordkoreanische Version der Software hat allerdings einen entscheidenden Unterschied: Eine Virensignatur, die die Trend-Micro-Engine erkennt, soll hier explizit auf die Whitelist geschrieben worden sein. Dabei handelt es sich um eine Malware mit dem Namen "MAL_NUCRP-5".

In der Installationsdatei ist nach Angaben von Check Point außerdem eine Malware mit dem Namen Jaku enthalten. Jaku wird genutzt, um ein Botnetz aufzuspannen, das aus weltweit etwa 19.000 infizierten Rechnern besteht. Die Malware ist mit einem Zertifikat signiert, das auf die "Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd" ausgestellt wurde. Diese Firma tauchte bereits im Zusammenhang mit der APT-Gruppe Dark Hotel auf.

Trend Micro gibt an, niemals geschäftliche Beziehungen nach Nordkorea gehabt zu haben. Man sei sich daher sehr sicher, dass hier eine unlizensierte Version der eigenen Engine verwendet werde. Auf den Einsatz rechtlicher Mittel will das Unternehmen allerdings verzichten, dies sei "in diesem Fall sicher nicht produktiv."

Zur Startseite 23 Kommentare

Relevante Themen

SoftwareToolsSecurityCybercrimeDatensicherheitVirusAnti-Virus