Malware-Analyse

Kaspersky rätselt über geheimnisvolles Trojaner-Framework

09.03.12 | Redakteur: Franz Graser

Der Begriff "Trojaner" geht auf das berühmte Trojanische Pferd zurück. In dem vorgeblichen Weihgeschenk schleusten die Griechen ihre Krieger in die belagerte Stadt Troja ein. (Schliemann-Museum Ankershagen)
Der Begriff "Trojaner" geht auf das berühmte Trojanische Pferd zurück. In dem vorgeblichen Weihgeschenk schleusten die Griechen ihre Krieger in die belagerte Stadt Troja ein. (Schliemann-Museum Ankershagen)

Ein Malware-Programm namens Duqu gibt den Experten von Kaspersky Labs Rätsel auf. Insbesondere die Programmiersprache, in der ein Teil des Trojanischen Pferdes geschrieben ist, lässt sich nicht ermitteln.

Nach einem Bericht des Branchendienstes The Register halten es die Malware-Experten von Kaspersky für sehr wahrscheinlich, dass der Softwareschädling von der selben Gruppe entwickelt wurde wie der berüchtigte Stuxnet-Wurm. Allerdings gibt es deutliche Unterschiede: Stuxnet zielte auf hochspezifische Industrieanlagen wie die iranischen Zentrifugen, die zur Anreicherung von Uran dienen. Duqu ist dagegen eher als Hintertür gedacht, mit dem Datendiebe in den Leitstand von Industrieanlagen eindringen und dort Informationen stehlen können.

Rätselhaft ist vor allem der Teil des Programms, der mit den Rechnern kommuniziert, an die Duqu die gestohlenen Informationen übermittelt. Dieses sogenannte Duqu Framework unterscheidet sich deutlich vom Rest der Schadsoftware. Der Rest wurde größtenteils in C++ geschrieben und mit Microsofts Visual C++ 2008 kompiliert wurde. Aber beim Duqu Framework tappen die Mallware-Forscher bisher im Dunkeln.

Der Kaspersky-Experte Igor Soumenkov kann bisher nur grob eingrenzen, was über das rätselhafte Framework bekannt ist: Demnach handelt es sich um ein ereignisgetriebenes Framework, das native Windows-Programmierschnittstellen benutzt und in einer objektorientierten Programmiersprache entwickelt wurde. Insgesamt wurden in dem geheimnisvollen Code 60 Klassen identifiziert. Das ereignisgetriebene Modell weist Parallelen zu Objective C auf, einer Programmiersprache, die vor allem im Mac-Umfeld verwendet wird. „Allerdings sieht es nicht so aus, als ob der Code mit einem uns bekannten Compiler für Objective C kompiliert worden wäre“, schreibt Soumenkov in seinem Blogeintrag.

Den Kaspersky-Experten bleibt daher nichts anderes übrig, als nach dem Ausschlussprinzip vorzugehen, um dem erstmals im September 2011 identifizierten Schadprogramm auf die Schliche zu kommen. Sicher ist demnach, dass der Code nicht in C++, Objective C, Java, Ada, Python oder Lua entwickelt wurde. Auch einige weitere Sprachen können die Forscher inzwischen ausschließen.

Soumenkov vermutet, dass das "Duqu Framework" von einem anderen Team entwickelt worden sein könnte als der relativ konventionelle Rest des Trojaners. Es ist seiner Ansicht nach auch nicht auszuschließen, dass für die Programmierung der geheimnisvollen Code-Sequenzen ein eigens entwickeltes Inhouse-Framework oder sogar eine eigene Programmiersprache verwendet wurde. Daher bittet er die Entwickler-Community um Mithilfe bei der Analyse der Schadsoftware.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Spamschutz 

Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein:
Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 32393230) | Archiv: Vogel Business Media

Heftarchiv
ELEKTRONIKPRAXIS 14/2014

ELEKTRONIKPRAXIS 14/2014

Wenn Optik und Haptik eines Displays entscheiden

Weitere Themen:

Verbesserte SiCLeistungs- MOSFETs
Theorie versus Prozesstoleranzen
Hardware Monitoring

zum ePaper

zum Heftarchiv

ELEKTRONIKPRAXIS 13/2014

ELEKTRONIKPRAXIS 13/2014

Perfekt aufgestellt für jede Gehäuse-Situation

Weitere Themen:

Das M2M-Protokoll OPC UA
Hohe Abtastrate und Bandbreite
Was AC-Quellen können müssen

zum ePaper

zum Heftarchiv

ELEKTRONIKPRAXIS 12/2014

ELEKTRONIKPRAXIS 12/2014

Was Chefs über Software wissen müssen

Weitere Themen:

Automatisches und interaktives Routeb
Hardware mit SCRUM entwickeln
GbE in der Automatisierung

zum ePaper

zum Heftarchiv