MDR INFO, 04.06.12
Vor einer Woche wurde bekannt, dass der Virus „Flame“ wie ein Spion seine Nutzer aushorcht. Experten bezeichnen Flame als einen Virus von bisher ungekannten Ausmaß. Flame zerstört offenbar nichts, aber belauscht im wahrsten Sinne des Worte. Flame macht unter anderem Fotos vom Bildschirm, schaltet das Mikrofon des Rechners an und zeichnet Gespräche mit – hauptsächlich im Nahen Osten. All das wird über das Internet an noch nicht bekannte Orte und Programmierer übertragen. Inzwischen weiß man immer mehr über das geheimnisvolle Netz – und eine Spur führt nach Deutschland.
Besser hätte es kein Buchautor schreiben können: Gefälschte Identitäten, Scheinadressen in Hotels, ein weltweites Netz von Internetservern und –Adressen, ständig wechselnde Weiterleitungen. Die Experten der Antivirensoftware-Firma Kaspersky Lab entdecken immer mehr Spuren. Und Flame ist weiterhin aktiv. Eine Spur führt jetzt sogar nach Deutschland, wie Magnus Kalkuhl, stellvertretender Leiter des weltweiten Forschungslabor von Kaspersky, erzählt:
Was dort also passiert ist, ist, dass über das Wochenende einige Domainnamen umgeleitet wurden, von einer alten IP zu einer neuen IP. Wir konnten das beobachten. Und dann ließ sich relativ leicht feststellen, dass es sich um eine deutsche IP handelt. Dieser Server ist inzwischen aber nicht mehr erreichbar.
Domains sind die Namen der Internetseiten, die IP wiederum gibt wie ein Autokennzeichen an, wo der Server, also der Speicherplatz, der Seite steht. Die betroffene Firma in Süd-Deutschland vermietet ihre Server, ist also vermutlich auch nur ein Opfer derjenigen, die diesen Computervirus verbreiten. Das Problem war dort heute noch nicht bekannt.
Die Methoden der Virenhersteller sind sehr ausgefeilt und erinnern an Geheimdienste:
Ja, also was uns natürlich aufgefallen ist, dass sehr viele Domains, die registriert wurden, für diesen Schädling, anscheinend mit falschen Identitäten registriert wurden. Die Adressen, die dort teilweise angegeben wurden, die gibt es entweder nicht, oder hinter diesen Adressen verstecken sich dann zum Beispiel Hotels, aber keine konkreten Personen.
Insgesamt hat Kaspersky Lab 80 verschiedene Internetseiten entdeckt, die auf diese Art seit 2008 reserviert wurden.
Und eines haben die Viren-Detektive auch enthüllt: „Flame“ hat ein offizielles Zertifikat von Microsoft – offenbar gut gefälscht, wie Magnus Kalkuhl erläutert.
Das Gefährliche ist dann eben, dass das Programm mit einem Microsoft-Zertifikat in erster Linie vertrauenswürdig aussieht. Wie das wirklich im einzelnen passiert ist, und was dahinter steckt, das wird sich in den nächsten Tagen aufklären.
Haupteinsatzgebiet von Flame ist offenbar weiterhin der Nahe Osten. Rein technisch kann das Programm aber weltweit eingesetzt werden.
(c) Michael Voß, www.michael-voss.de
