Spionagewurm "Morcut" befällt Mac, Windows und Smartphones

22. August 2012, 10:07
  • Das JAR-File gibt vor, von VeriSign zu kommen, ist aber eine Spionagesoftware mit ausgeklügelten Funktionen
    vergrößern 546x561
    screenshot: derstandard.at

    Das JAR-File gibt vor, von VeriSign zu kommen, ist aber eine Spionagesoftware mit ausgeklügelten Funktionen

Das als JAR-File getarnte System schleust sich auch in Virtuelle Maschinen und externe Datenträger ein

Ein neuer Spionagewurm namens "Crisis" bzw. "Morcut", der im Juli von Doctor Web entdeckt wurde, versteckt sich auf dem System befallener Rechner und kann User ausspionieren. Die volle Funktionalität unter Windows wurde allerdings jetzt erst bekannt. Anfällig für den Wurm sind Windows und Mac OS X. Der Name "Crisis" ist im Code der Malware enthalten, wird in der IT-Security jedoch "Morcut" genannt, um dem Entwickler keinen Tribut zu zollen. Vermutet wird, dass das Progamm nur für gezielte Angriffe vorgesehen ist und nicht für eine weite Verbreitung vorgesehen ist. Namhafte Sicherheitsunternehmen wie Kaspersky oder Symantec haben den Wurm in freier Wildbahn noch nicht verzeichnen können. Gestoßen ist man auf den Wurm erst, als er zur Überprüfung bei VirustTotal hochgeladen wurde, wie Heise berichtet.

AdobeFlashPlayer.jar

Infiltriert wird ein System durch ein JAR-File, das durch Social Engineering auf den Rechner gelangt. Konkret gibt das JAR-File vor, ein AdobeFlashPlayer.jar-File zu sein und von VeriSign zu kommen. Das File enthält ausführbare Dateien für Mac OS als auch Windows. Securelist listet alle Komponenten des Systems auf, das aus einem Installer, Rootkits, Spyware und Autorun-Files besteht. Je nach Rechten des Users auf dem Computer führt die Malware unterschiedliche Funktionen aus.

Spionage persönlicher Inhalte

Auf Mac OS X können dadurch beispielsweise Informationen aus dem Adressbuch, Kalenderdaten, Gespräche, Screenshots und sogar Bilder von der Webcam in fremde Hände gelangen. Wie NakedSecurity schreibt, ist "Morcut" noch nicht sehr verbreitet, eine Antiviren-Software wird dennoch empfohlen.

Einschleusen in Virtuelle Maschinen

Unter Windows hat Morcut laut Symantec noch ein paar weitere Funktionen auf Lager: Die Malware kann sich in Virtuelle Maschinen von VMware einschleusen, Module auf einem Windows Mobile Device ablegen und installieren und sich selbst auf einen externe Datenträger kopieren. (red, derStandard.at, 22.8.2012)

Share if you care
Posting 1 bis 25 von 34
1 2

da muss mein sgy sehr sicher sein weil es unterstützt kein flash

das heißt vertrauen erwecken und

mißbrauchen

Vertrauen erwecken?

Bei einem Wurzelzertifikat, das nicht verifiziert werden konnte und deshalb explizit davor gewarnt wird, das Programm zu benutzen?

Mac auch ? Ist aber gemein .

Wenn die werten user mittun, ist alles

möglich.

Heute hatte ich auch ein update-angebot auf dem schirm…

Eine Antiviren-Software wird dennoch empfohlen?

Hirn 2.0 und das Weglassen der Sicherheitslücke Flash wird empfohlen.

Wer Flash-Sites dennoch besuchen muss, der soll Google Chrom nehmen. Da wird es bereits in einer Sandbox mitgeliefert und man muss nicht erst etwas möglicherweise Windiges installieren.

Flash hat mit dieser Malware genau gar nix zu tun.

Probieren's doch selbst mal Hirn 4.0?

„Konkret gibt das JAR-File vor, ein AdobeFlashPlayer.jar-File zu sein und von VeriSign zu kommen.“

Wenn ich kein Flash habe, dann werde ich so einer Datei bestimmt nicht vertrauen. Das hat also sehr wohl etwas mit Flash zu tun.

für Mac gibt es doch keine schädlinge... ganz sicher nicht!!! SOWAS KANN NICHT SEIN!! WEIL APPLE SO SUPA IS.

das ist jetzt der zweite Schädling, von dem ich für Mac höre und beide hatten mit Flash zu tun (auch wenn Adobe dafür nix kann) - da fühl ich mich mit einem Mac also weiterhin ziemlich sicher. Logisch kann jedes System befallen werden, aber bis anhin ist es schlicht kein Problem mit Macs.

Na, so wie dich stell ich mir das potentielle Social Engineering-Opfer vor :-).

"...das durch Social Engineering auf den Rechner gelangt..."

"Social Engineering"

harhar. schöner Begriff.

Ein Hacker OS, dass mehr drauf hat, gibt es schon lange, funktioniert auf vielen Windowsversionen seit 2006 (XP, Vista, Win7), ebenfalls auch für Linux zu haben.

Subvirt, Virtual Machine Based Rootkit (VMBR)

Funktionsumfang:
1. Keylogger
2. Mikrofon & Webcam (Video;Bild) Aufzeichnung
3. Daten auf der Festplatte beliebig manipulierbar
4. Screenshot des Bildschirms.
5. Weiterverbreitung der Infektion per USB Stick, eMail, Facebook, usw..
6. Daten werden an den Hacker (auch live) gesendet per WLAN/DSL. (falls verfügbar über Nachbar WLAN) Sobald sie ein WLAN Netz vom Nachbarn in Reichweite haben, ist der PC/Laptop praktisch nie offline, wenn dieser Nachbar sein ADSL/Glasfaser/UPC-WLAN nie abdreht, weil der Hacker ein Nachbar WLAN zur Backupkommunikation benützt.

Virtual Malware SUBVIRT

http://www.linux-magazine.com/Issues/20... gorie%29/0

Interresantes Kommentar.....

... ist das auch von dir? Oder hast du es Kopiert???

http://www.zdnet.de/88119861/... maschinen/

Fakt ist, dass ich mir diesen (oder anderen) Rootkit nicht im Drivebye auf ein Linux System installieren kann, und das ist der springende Punkt. Würde das gehen hätten einige Konzerne wie wie die Filmindustrie oder Google ein riesiges Problem.
Werden Linux-Server angegriffen dann nicht das system sondern die darauf laufenden Programme/Systeme/Prozesse z.B.: SQL-Injection

Fakt ist weiters, die größte Sicherheitslücke sitzt in der Regel vor dem Rechner und die ist in der Regel bei Linux kleiner als bei OSX oder Win.....

Ja, es ist auch von mir. Und Ja Linux ist bei weitem nicht so betroffen wie Windows. Habe deshalb auf einen Verweis von Linux jetzt verzichtet.Die grösste Sicherheitslücke sitzt in der Regel vor dem Rechner. Dass stimmt. Jedoch hilft es ihnen bei

Subvirt in Verbindung mit Windows nicht viel, sich alleine an die Sicherheitsregeln zu halten.

Begründung:
1. Subvirt hat viele Möglichkeiten des Infektionsweges, da müsste man schon fast sämtliche Neuerungen des letzten Jahrzehnts sperren / ausschalten, damit die Sicherheit signifikant steigt.

2. Subvirt kann auch ohne Administratorenrechte (unter Windows) installiert werden, da es Notfalls Sicherheitslücken im Betriebsystem gibt, wo er diese Rechte bekommt, die ihm dies ermöglichen.

3. Sämtliche Updates eingespielt, aktuelle Internetsecurity installiert (Kaspersky), keine Raubkopien auf dem Rechner, wenn Freeware, dann nur aus verlässlichen Quellen/direkt vom Hersteller. Trotzdem hat es mich erwischt! (über Homepage eines FB Freundes)

Bitte lass das Linux da mal raus! ;)

Hab letztens erst mit einem sehr professionellen Programmierer (Angebote von Frauenberger Institut usw.) gesprochen und auf Linux wird das ganze nicht so einfach funktionieren!!
Man muss einfach bedenken, dass Linux alleine von der Dateistruktur anders funktioniert als Win! Außerdem ist Linux sicherer als Win, weil die Rechtevergabe auch ein wenig anders funktioniert als in Win!!
Weiters ist Linux noch nicht wirklich verbreitet, weshalb es sich für Hacker kaum lohnt Viren usw für Linux zu schreiben!!

linux ist sogar sehr verbreitet, nämlich dort wo es für "hacker" oft am interessantesten ist: auf server-systemen. und für linux gibt es deshalb auch eine breite auswahl an rootkits.

Ich bleib mal freundlich:

Worauf genau willst du hinaus? Du postest das ein bisschen öfters als nur einmal und ich versteh nicht ganz: warum?
So spamartig wie du das überall verbreitest könnte man meinen du machst Werbung dafür...

Nein Werbung sicher nicht, eher eine persönliche Motivation meinerseits. Habe den Hackerangriff bei der Polizei zur Anzeige gebracht, dort alles Detailreich dargelegt, mit einem EDV Experten anbei, der die Infektion auch bestätigt hatte.

Die österreichische Homepage, bei der ich mir Subvirt per drive by Download, usw... eingefangen habe, habe ich auch angegeben. Es handelt sich um eine Homepage von einer ehemals mit mir befreundeten Person, der Link stammte weiters aus dem Facebookprofil dieser selben Person. (wurde Privat/Gewerblich noch nie verwendet, nur aus Namensrechtlichen Gründen seit Jahren reserviert)

Kaspersky bot mir ebenfalls an, nach der positiven Überprüfung der Vorabsystemanalysedatei auf Subvirt, die Laptops genauer unter die Lupe zu nehmen. Aus Ermittlungstechnischen Gründen entschied ich mich gegen Kaspersky und für das BKA in Österreich.

Wenn die alle Daten haben und auch die Nachbarleitungen/-anschlüsse kennen (WLAN Backupleitung), ........ Teil 2-->

Teil2: werden die die Leute schon finden. Falsch gedacht. Was wir damals nicht wussten, in Österreich gibt es eine Wartezeit von bis zu 6 Monaten für PRIVATPERSONEN, bei einer Anzeige eines Hackerangriffes. Weiters gibt es trotz der Beweise

(die involvierten Personen sind teilweise bekannt ( ZJ, ehemalige Freunde, österr. Homepage, usw...) eine Schadensgrenze.

Da mein Fall nur ca. 1.500 € Schadensumme ausmacht (Hardwareschaden; BIOS wurde bei allen geflasht, eine Desinfektion kann nicht mehr sichergestellt werden, ohne BIOS Chip Austausch) und der Soziale Totschlag in Österreich kein Straftatbestand ist der bei so etwas verfolgt wird (Hackerangriff), wurde dass Verfahren ohne Mitteilung oder Begründung eingestellt.

Ich kann nur jedem Raten, den sowas passiert auf privaten Weg EDV Experten dafür zu engagieren und nicht vorrangig das BKA. Die unternehmen nichts, wenn der wirtschaftliche Schaden nicht gross ist.

Auch wenn man Vorabanalysen erstellen lässt und Beweise hat!

..ein WLAN Netz vom Nachbarn in Reichweite haben, ist der PC/Laptop praktisch nie offline

schmarrn

Begründung, wenn es keine Umstände macht.... ansonsten kann ich persönlich dazu nur sagen:

Subvirt, fällt im Normalfall nur auf, wenn der PC od. Laptop offline ist.

Da es von keiner AV Lösung eine Fehlermeldung gibt ausser Kaspersky IS / Trend Micro IS 2010/11/12 melden beschädigte Datenbanken, wenn der PC offline ist.

Aufgefallen ist die Infektion bei mir 3 Tage danach, als der Nachbar sein Internet abdrehte (Backupleitung des Hackers) und beschädigte Datenbanken aufleuchteten (eigenes Internet war abgeschaltet)

Entdeckt werden kann er höchstens über Trend Micro Hauscall, Radix Anti Rootkit, usw..., da findet man dann massenweise Rootkits im Windowsordner (System32 zB). Dies gilt weiters nur, wenn das BIOS vom Hacker noch nicht geflasht wurde, dann ist eine Auffindung ohne externe Mittel unmöglich.

So, so, der pööhse Hacker nutzte also "das Internet" des Nachbarn als Backup-Leitung? Ich glaub da eher an was anderes...

Na dann legen sie mal ihre Sicht der Dinge dar, wenn sie dazu etwas beizutragen haben.

Posting 1 bis 25 von 34
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.