Trojaner "Duqu" nutzt unbekannte Lücke im Windows-Kernel

  • Artikelbild
    foto: standard

Schadprogramm wird für gezielte Angriffe eingesetzt

Seit einigen Wochen sorgt "Duqu" für Schlagzeilen. Der Grund: Der Trojaner wurde explizit für den Diebstahl von Unternehmensdaten gebaut und soll Teile des Software-Codes von Stuxnet, des berüchtigten Wurms, mit dem wahrscheinlich das iranische Atomprogramm sabotiert wurde, enthalten.

Unbekannte Lücke

Nun hat Microsoft bestätigt, dass das Programm eine bisher unbekannte Lücke im Windows-Kernel  zur Verbreitung nutzt. Der Software-Konzern arbeitet bereits an einem Patch, um die Lücke zu stopfen. Laut heise.de, befällt Duqu" Windows-Systeme mit Hilfe präparierter Word-Dateien, die Schadcode durch einen Kernel-Exploit ins System einschleusen. Über Netzwerkfreigaben verbreitet sich der Bot auch in lokalen Netzwerken. 

Ein  klassischer Botnetz-Trojaner

Duqu verhält sich wie ein klassischer Botnetz-Trojaner. Vom kompromittierten Rechner werden Dateien verschlüsselt an einen Command-And-Control-Server geschickt, zudem können mit einer zusätzlich installierten Malware Tastatureingaben abgefangen werden. Mit den erbeuteten Passwörtern könnten Angreifer beispielsweise einen gezielten Angriff auf ein Unternehmen starten.
Duqu wird für gezielte Angriffe genutzt, so wurden unter anderem Hersteller von Industriesteueranlagen ausspioniert. Auch in Österreich sollen bereits Systeme befallen worden sein.

"DQ"

Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil "DQ" anlegt. (red)

Share if you care
17 Postings
Duqu enthält nicht "angeblich" Teile von Stuxnet - sondern Teile ihrer Sourcecode sind identisch…

…D.h., daß entweder jene Ar***löcher, die hinter der Entwicklung von Stuxnet stecken, diesen Code an die Doqu-Entwickler WEITERGEGEBEN haben oder es zuließen, daß er GESTOHLEN wurde - oder was am wahrscheinlichsten ist - daß die gleichen Leute dahinterstecken.

Typen, denen wir u.a.die Katastrophe in Fukushima verdanken dürfen-zumindest das technische Versagen nach dem Tsunami. Ein menschgemachtes Desaster, welches Tschernobyl um Lichtjahre überholte, und dessen weitere Auswirkungen noch gar nicht abzuschätzen sind - auch wenn es von den Presstituten nicht so dargestellt wurde.

Duqu-Geheimnisse vor Lösung…

…Von Igor Soumenkov, dem "Kaspersky Lab"-Experten, der weltweit Programmierer aufrief, und zur Mithilfe am Rätsel bat:

http://www.securelist.com/en/blog/6... ork_solved

Weiterführendes:
http://www.securityweek.com/mystery-p... ork-solved

Nutzt eine unbekannte Lücke im Kernel ?
Wohl richtiger ein eingebautes Backdoor.
Das waren keine Profis, die hatten den Sourcecode von Windoofs!

Welche Teile weisen den identischen Code auf? Quelle?

Windows hat einen Kernel - aha?

Kernelmanipulation - wie?

Dass der Virenscanner nicht darauf reagiert, kann ich noch verstehen, aber:

Ich frage mich, wie man durch eine Worddatei, also durch VBA-Code den Kernel manipulieren kann, wenn der Kernel schreibgeschützt sein soll. Arbeiten alle in den Firmen mit Adminrechten oder hat man der Software Systemrechte eingeräumt?

Ich glaube, solche Admins sollte man wohl genauer unter die Lupe nehmen.

Indem man zB einen buffer overflow im Kernel Code ausnutzt. Übrigens, aus dem user space ist der Kernel auch für Admins nicht beschreibbar. Alles andere wäre unverantwortlich.

ist man mit libreoffice auch betroffen?

MS Office benutze ich seit Jahren nicht mehr...

Ich hab Openoffice, verwends aber kaum. o_o' (Das Ding, in dem ich meine Sachen hauptsächlich schreib ist eh Q10 - ein aufgemotzter Texteditor.)

"Windows-Kernel" - link zu kernel.org

*kopf-tisch*

macht das weg!!!

solange der User die Datei immer noch öffnen muss, wayne...

naja, jemanden dazu zu kriegen ein word file aufzumachen sollte man hinkriegen. wenn man es keine macros ausfürhen läßt möchte man ja nicht meinen dass es die büchse der pandora ist

Hier wird eben nicht genau beschrieben, ob es sich nicht um vba code handelt. Hier steht nur was von manipulierter Word Datei. Da aber das modernste Office alle Attachments standardmässig in einem Read only Modus öffnet, kann ich mir kaum vorstellen, dass das so einfach gehen soll.
Ein paar mehr technische Infos im Artikel wären nicht schlecht gewesen...

Oha eine Zigarette...

Hoffentlich bemerken das nicht die Fanatiker aus dem Raucherforum

Die Zigarette zeigt: Das ist ein _böser_ Mann! Ein Terrorist!
Sehr wahrscheinlich hat er auch dreckige Fingernägel und ein Android-Handy.

Es gibt ein Raucherforum ?

i wusste gleich, etwas auf dem bild ist gefährlich :-D

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.