Symantec entdeckt Bluetooth-Funktion in Flame-Malware

SicherheitSicherheitsmanagementVirus

Symantec hat weitere Analyse-Ergebnisse zu dem als “W32.Flamer” bezeichneten Schadcode vorgelegt. Sie offenbaren viele Gemeinsamkeiten mit Stuxnet. Die Verwendung von Bluetooth sehen die Experten als weiteres Indiz dafür, dass es sich um Spionagesoftware handelt.

W32.Flamer (auch einfach “Flame” genannt) ist nach den Erkenntnissen der Sicherheitsforscher von Symantec in mehrerer Hinsicht ungewöhnlich. Das fängt schon damit an, wie er von einem auf andere Computer gelangen soll: Der Schadcode verbreitet sich nicht automatisch, wie man das von seinen “Kollegen” kennt, sondern nur dann, wenn die Angreifer es ihm befehlen.

Flamer nutzt zur Verbreitung zum Einen Netzwerk-Shares, auf die er mit Hilfe gestohlener Zugangscodes gelangt, beispielsweise denen des Domain-Administrators. Außerdem missbraucht der Schädling aber auch eine Schwäche im Printer Spooler von Windows (CVE-2010-2729), die zuvor bereits Stuxnet ausgenutzt hat. Mit Stuxnet gemeinsam hat er zudem den Verbreitungsweg über Wechselmedien, auf denen er sich in einer manipulierten automatische Startdatei “autorun.inf” einnistet und darüber verbreitet.

Außerdem nutzt der Schadcode ein spezielles Verzeichnis auf Wechselmedien, das er geschickt versteckt. Dieses wird wegen einer Schwäche in Windows (CVE-2010-2568) automatisch ausgeführt, sobald der Anwender das Wechselmedium anklickt. Auch diesen Trick haben die Autoren von Stuxnet bereits eingesetzt.

Kopfzerbrechen bereitet Symantec noch der Sinn der Bluetooth-Funktion. Ein eindeutige Antwort, was die Flame-Autoren damit bezwecken, haben sie noch nicht – dafür aber drei Theorien, die in Verbindung mit der kontrollierten Verbreitungsmethode den Verdacht erhärten, dass Flamer als Spionage-Tool konzipiert wurde:

  1. Der Code könnte alle Bluetooth-fähigen Geräte in der Nähe des infizierten Systems katalogisieren. Die Autoren könnten aus dieser Liste Rückschlüsse auf das soziale oder berufliche Umfeld des PC-Besitzers schließen.
  2. Die Bluetooth-Option hilft, den Standort eines infizierten Rechners genauer zu bestimmen. Die Autoren könnten Rückschlüsse ziehen, ob andere wichtige Ziele in der Nähe sind, seien es Zielsysteme oder -personen.
  3. Der Schadcode könnte weitere Bluetooth-Geräte in der Nähe angreifen und von diesen Informationen stehlen, indem er deren Datenverbindung belauscht.
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen