Original-URL des Artikels: https://www.golem.de/news/trend-micro-nordkorea-nutzt-geklauten-virenscanner-mit-malware-1805-134190.html    Veröffentlicht: 02.05.2018 17:49    Kurz-URL: https://glm.io/134190

Trend Micro

Nordkorea nutzt geklauten Virenscanner mit Malware

Nach RedStar OS und dem eigenen Android-Tablet ist weitere kuriose Software aus Nordkorea aufgetaucht: Ein Virenscanner. Das abgeschottete Land nutzt dabei eine zehn Jahre alte Scan-Engine von Trend Micro.

Nordkorea soll eine eigene Antivirensoftware verwenden, die auf einem zehn Jahren alten Produkt der Sicherheitsfirma Trend Micro basiert. Wie die Sicherheitsfirma Check Point schreibt, nutzt das Programm mit dem Namen SiliVaccine "große Codefragmente einer mehr als zehn Jahre alten Antivirus-Engine der Firma Trend Micro".

Check Point geht davon aus, dass die Entwickler entweder Zugriff auf den Quellcode von Trend Micro oder auf Bibliotheken gehabt haben. Der Code wurde neu kompiliert, dabei sollen Optimierungen zum Einsatz gekommen sein, die Trend Micro selbst nicht genutzt hat. Die Signaturdateien haben ein ähnliches Format wie bei der Originalsoftware, sie werden mit einer veränderten Version des SHA-1-Algorithmus gehasht.

Illegal kopierte Version mit zusätzlicher Malware

Trend Micro bestätigte, dass es sich in diesem Fall um eine illegal kopierte Version der Software handelt. Die nordkoreanische Version der Software hat allerdings einen entscheidenden Unterschied: Eine Virensignatur, die die Trend-Micro-Engine erkennt, soll hier explizit auf die Whitelist geschrieben worden sein. Dabei handelt es sich um eine Malware mit dem Namen "MAL_NUCRP-5".

In der Installationsdatei ist nach Angaben von Check Point außerdem eine Malware mit dem Namen Jaku enthalten. Jaku wird genutzt, um ein Botnetz aufzuspannen, das aus weltweit etwa 19.000 infizierten Rechnern besteht. Die Malware ist mit einem Zertifikat signiert, das auf die "Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd" ausgestellt wurde. Diese Firma tauchte bereits im Zusammenhang mit der APT-Gruppe Dark Hotel auf.

Trend Micro gibt an, niemals geschäftliche Beziehungen nach Nordkorea gehabt zu haben. Man sei sich daher sehr sicher, dass hier eine unlizensierte Version der eigenen Engine verwendet werde. Auf den Einsatz rechtlicher Mittel will das Unternehmen allerdings verzichten, dies sei "in diesem Fall sicher nicht produktiv."  (hg)


Verwandte Artikel:
Malware: Chef der Carbanak-Bande in Alicante festgenommen   
(26.03.2018, https://glm.io/133532 )
Security: Frankreichs Whatsapp-Alternative setzt auf Matrix und Riot   
(27.04.2018, https://glm.io/134115 )
IT-Sicherheit: Der Angriff kommt - auch ohne eigene Fehler   
(02.01.2018, https://glm.io/131790 )
Windows 7, 8.1 und 10: Kein Registry-Eintrag für Sicherheitsupdates mehr nötig   
(12.04.2018, https://glm.io/133798 )
Virenscanner: ClamAV hat zahlreiche Schwachstellen   
(26.01.2018, https://glm.io/132417 )

© 1997–2019 Golem.de, https://www.golem.de/