Verfasst von Gargoyle
am Donnerstag, 12 Januar, 2012

Teilen

Plattformen:

» PC Software
» Hardware
» Smartphones / Tablets

Aktuelle Pressemeldungen, Neuigkeiten und Gerüchte

Neue Informationen über die Trojaner Duqu und Stuxnet bestätigen, dass dieselben Cyberkriminellen hinter den beiden Malware-Familienstehen. Das enthüllt die ausführliche Analyse „Stuxnet/Duqu: Evolution der Treiber“ von Kaspersky Lab. Die Security-Experten nennen anhand der Analyse von Treibern Indizien, die den Verdacht erhärten, dass bei beiden Schädlingen dieselbePlattform mit dem Namen „Tilded“ verwendet wurde. Diese kann nach Bedarf flexibel für spezifische Ziele angepasst werden. Anhand der Erstellungsdaten der sieben gefundenen Treiberfamilien datiert Kaspersky Lab das Entstehungsdatum der Plattform Tilded auf Ende 2007 bis Anfang 2008.

Anschließendwurden an Tilded im Sommeroder Herbst 2010 entscheidende Veränderungen vorgenommen. Diese wurdenzum einen wegen der weiteren Entwicklung des Codes und zum anderen zur Umgehung einer Entdeckung durch AV-Programme getätigt.Zwischen 2007 und 2011 liefen mehrere Projekte zur Entwicklung von Programmen auf der Basis vonTilded. Im Gegensatz von Stuxnet und Duqu sind dieübrigen Projekte allerdings bis heute unbekannt.

„DieTreiber von den nochunbekanntenSchadprogrammen können nicht den AktivitätenvonStuxnetund Duqu zugeordnetwerden“, so AlexanderGostev, Chief Security Expert bei Kaspersky Lab. „Denn eineVerbreitung vonStuxnet hätte eine große Anzahl anInfektionenmit diesen Treibern zur Folge gehabt. Auch Duqu kommt hier wegen des Erstellungsdatums nicht in Frage. Wir gehen davon aus, dass diese Treiber entweder in einer früheren Version von Duqu oder für eine Infektion mit komplett anderen Schadprogrammen verwendet wurden. Höchstwahrscheinlich stecken aber dieselben Hintermänner dahinter.“

Die Kaspersky-Experten gehen zudem davon aus, dassdie Cyberkriminellen mehrmals im Jahr eine neue Version des Treiberserstellen, der für das Laden der Hauptmodulederschädlichen Programmeverwendet wird.Ist einneuerAngriffgeplant, werden mit Hilfeeines speziellen Programms mehrere Parameter des Treibers geändert, zum Beispielder Registrierungsschlüssel.Je nach Aufgabenstellung kann eine solche Dateiauch durch ein legalesdigitalesZertifikat signiert oder komplett ohne Signatur versendet werden.