Trojaner "Duqu" nutzt unbekannte Lücke im Windows-Kernel

  • Artikelbild
    foto: standard

Schadprogramm wird für gezielte Angriffe eingesetzt

Seit einigen Wochen sorgt "Duqu" für Schlagzeilen. Der Grund: Der Trojaner wurde explizit für den Diebstahl von Unternehmensdaten gebaut und soll Teile des Software-Codes von Stuxnet, des berüchtigten Wurms, mit dem wahrscheinlich das iranische Atomprogramm sabotiert wurde, enthalten.

Unbekannte Lücke

Nun hat Microsoft bestätigt, dass das Programm eine bisher unbekannte Lücke im Windows-Kernel  zur Verbreitung nutzt. Der Software-Konzern arbeitet bereits an einem Patch, um die Lücke zu stopfen. Laut heise.de, befällt Duqu" Windows-Systeme mit Hilfe präparierter Word-Dateien, die Schadcode durch einen Kernel-Exploit ins System einschleusen. Über Netzwerkfreigaben verbreitet sich der Bot auch in lokalen Netzwerken. 

Ein  klassischer Botnetz-Trojaner

Duqu verhält sich wie ein klassischer Botnetz-Trojaner. Vom kompromittierten Rechner werden Dateien verschlüsselt an einen Command-And-Control-Server geschickt, zudem können mit einer zusätzlich installierten Malware Tastatureingaben abgefangen werden. Mit den erbeuteten Passwörtern könnten Angreifer beispielsweise einen gezielten Angriff auf ein Unternehmen starten.
Duqu wird für gezielte Angriffe genutzt, so wurden unter anderem Hersteller von Industriesteueranlagen ausspioniert. Auch in Österreich sollen bereits Systeme befallen worden sein.

"DQ"

Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil "DQ" anlegt. (red)

Share if you care