Suchen

Wurm treibt zwei Jahre lang sein Unwesen Flamer stiehlt sensible Informationen und Dokumente

| Redakteur: Stephan Augsten

Sicherheitsforscher des Antivirus-Spezialisten Symantec analysieren mit W32.Flamer derzeit eine Malware, die zwei Jahre lang nahezu unbemerkt operieren konnte. In seiner Komplexität soll der Schadcode etwa an Stuxnet und Duqu heranreichen.

Firma zum Thema

Der Wurm Flamer greift diverse Informationen ab.
Der Wurm Flamer greift diverse Informationen ab.

Stuxnet und Duqu sind nach Aussage von Symantec die beiden komplexesten Schadcodes, die das Unternehmen bislang erforscht hat. Mit W32.Flamer alias Skywiper gesellt sich nun ein Wurm hinzu, dessen modularer Aufbau eine Analyse deutlich erschwert.

Die Sicherheitsforscher gehen auch im aktuellen Fall davon aus, dass eine gut organisierte und finanzierte Gruppe mit der Entwicklung beschäftigt war. Bisher beschränken sich die Angriffe vornehmlich auf den Mittleren Osten, beispielsweise Palästina, Ungarn, Iran und Libanon. Weitere infizierte Rechner finden sich in Russland, Österreich, Hong Kong und den Vereinigten Arabischen Emiraten.

Die Hauptaufgabe von Flamer besteht darin, Dokumente, Informationen und andere Daten von infizierten Systemen zu stehlen sowie Screenshots zu versenden. Der Schadcode ist dazu in der Lage sich über USB-Laufwerke zu verbreiten, Sicherheitsprodukte abzuschalten und ungepatchte Systeme über Netzwerk-Freigaben zu infizieren.

Zurückhaltende Malware

W32.Flamer wurde diskret über den Zeitraum der vergangenen zwei Jahre eingesetzt, möglicherweise sogar schon länger. Der Code enthält zahlreiche Referenzen zu dem Begriff „Flame“ (z. Dt.: Flamme). Diese Zeichenkette bezieht sich laut Symantec womöglich auf verschiedene Angriffsinstanzen innerhalb des Codes oder auf den Projektnamen, unter dem der Schadcode entwickelt wurde.

Zu Industrie-Sektoren oder den Hintergründen individueller Zielpersonen könne Symantec noch nichts Konkretes sagen. Allerdings deuteten die ersten Analysen darauf hin, dass nur wenige Systeme aus denselben Gründen attackiert wurden.

Die Attacken hätten sich eher auf das Privatleben der Opfer konzentriert, statt auf ihre Arbeit oder ihre Rolle als Angestellter in einer bestimmten Organisation. Weitere Details zum Aufbau von W32.Flamer finden sich im Symantec-Blog.

(ID:33928300)