MDR INFO, 11.06.12
Vor zwei Wochen entdeckten Computerviren-Forscher ein Schadprogramm, das Computernutzer – vor allem im Nahen Osten – regelrecht ausspioniert. Flame beoachtet genau die Nutzung der Tastatur – weiß also, was der User schreibt – und kann sogar das Mikrofon des Computers anschalten. Alle Daten werden an einen bislang unbekannten Ort verschickt. Experten vermuten dahinter einen staatlich organisierten Lauschangriff, wobei es bislang keine Beweise dafür gibt. Nun gibt es eine neue Entwicklung, sozusagen einen digitalen Selbstmord.
Er ist ein ganz besonderer Virus: Flame. Quasi über Nacht hat er inzwischen einen Befehl erhalten sich selbst zu zerstören, erklärt Lars Kroll, vom Antivirensoftwarehersteller Symantec. Flame habe ganz offenbar eine Fernbedienung, mit der die Programmierer ihrem Virus von einen bislang unbekannten Ort aus Befehle geben können.
Und über diese Fernbedienungsfunktion wurde jetzt eine kleine Datei auf die entsprechenden Rechner gesendet, die einfach sagt, ich lösche einfach alles, von diesem Rechner, damit hier niemand eine Infektion nachweisen kann. Der Virus wird entfernt, aber er wird nicht nur entfernt, sondern auch die Bereiche auf der Festplatte, wo dieser Schadcode unterwegs war, werden dann mit Zufahlszahlen überschrieben.
Diese Zufallsfahlen sind wichtig, denn sie verhindern, dass sich im Nachhinein der gelöschte Bereich wieder herstellen lässt. Flame setzt sich also selbst außer Betrieb und säubert den Rechner so, dass die eigene Existenz nicht mehr nachweisbar ist. Doch das Schadprogramm wurde von Symantec ausgetrickst – und mit Hilfe eines sogenannten Honigtopfes – oder wie die Programmierer sagen: Honeypot.
Ein Honeypot ist ein System, was dem Angreifer vorspielt, dass er infiziert ist, und dadurch auch alle Fernbedienungsbefehle von dem Angreifer bekommt. Und so ein Honeypot-System, was nicht wirklich infiziert war, aber, was uns von Symantec gehört hat, hat auch diesen Löschbefehl über diese Fernbedienungsfunktion erhalten.
Den Virenforschern ist es also gelungen, die Befehle für Flame auf ein eigenes Programm umzuleiten. So konnten weitere Details über den Virus herausgefunden werden. Lars Kroll:
Er ist auf jeden Fall gut gemacht. Er ist von einer Gruppe gemacht, die auch über signifikanten finanzielle Mittel verfügt hat. Denn der Entwicklungsaufwand für so eine gezielte Attacke ist ziemlich groß.
Ein Hinweis mehr, dass hinter Flame ein Staat oder eine sehr mächtige Organisation stehen könnte.
Ob der Virus sich jetzt auf allen infizierten Computern zerstört, ist noch nicht bekannt. Allerdings haben mittlerweile die führenden Antivirensoftwarehersteller ihre Programme aktualisiert, so dass Flame sofort entdeckt wird. Möglicherweise ist das der Auslöser, weshalb das Programm jetzt den Befehl bekam, sich selbst zu zerstören.
(c) Michael Voß, www.michael-voss.de
