04.06.2012, 19:58
|
#12
|
|
Mod, bin gerne da
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646
|
Zitat:
Flame kam angeblich als Windows-Update aufs System
Während der noch andauernden Untersuchung des Spionage-Trojaners Flame hat der Virenexperte Costin Raiu von Kaspersky eine gleichermaßen spannende wie besorgniserregende Entdeckung gemacht: Flame konnte andere Rechner im Netzwerk offenbar über Windows Update infizieren.
Laut Raiu ist ein Flame-Modul namens Gadget dazu in der Lage, als Man-in-the-Middle anderen Rechnern im gleichen Netzwerk manipulierte Update-Pakete unterzujubeln. Ein konkretes Paket hieß WuSetupV.exe und war mit einem Zertifikat signiert, das von der "Microsoft Enforced Licensing Registration Authority CA" ausgestellt wurde – einer Sub-CA von Microsofts Root Authority. Ein weiterer Tweet des Virenexperten deutet darauf hin, dass Flame die Updates über einen virtuellen Server namens MSHOME-F3BE293C im Netzwerk verteilt hat.
Microsoft hatte bereits bestätigt, dass die Flame-Entwickler gültige Microsoft-Zertifikate ausstellen konnten. Unklar ist derzeit noch, ob Windows das Flame-Update tatsächlich klaglos akzeptiert hat. Hierzulande dürften die gefälschten Update-Pakete jedoch ohnehin keine Verbreitung gefunden haben. Laut Raiu wird das Gadget-MITM-Modul nur aktiv, wenn die Zeitzone auf GMT+2 und höher eingestellt ist – also östlich unserer Zeitzone.
Außerdem hat Kaspersky weitere Details zu der Botnetz-Infrastruktur hinter Flame veröffentlicht. Demnach haben die Flame-Betreiber mindestens 15 Kommandoserver genutzt, die für jeweils über 50 Opfer zuständig waren. Laut dem Bericht gingen wenige Stunde nach den ersten Veröffentlichungen zu Flame bei dem Botnetz "die Lichter aus".
Zur Registrierung der Domains nutzten die Betreiber zahlreiche falsche Identitäten. Die Server standen laut Kaspersky unter anderem in Deutschland, den Niederlanden, Großbritannien, der Schweiz, Hong Kong und der Türkei. Die meisten Opfer nutzten ein 32-bittiges Windows 7, darauf folgt XP mit 45 Prozent. Unter der 64-bit-Ausgabe von Windows 7 läuft Flame nicht.
Das Unternehmen konnte nach eigenen Angaben zahlreiche der Domains auf eine Sinkhole umleiten, wodurch die infizierten Systeme ihre Daten fortan bei Kaspersky ablieferten. Bei den Daten soll es sich vor allem um PDF- und Office-Dokumente, aber auch um AutoCAD-Dateien, also technische Zeichnungen, gehandelt haben. (rei)
|
Quelle: http://www.heise.de/newsticker/meldu...m-1603288.html
____________________________________
Liebe Grüße
Christoph
Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Geändert von Christoph (04.06.2012 um 20:03 Uhr).
|
|
|
Baum-Darstellung