News : Neuer Trojaner hinterlässt keine Spuren

, 50 Kommentare

Die Techniker des Sicherheitsunternehmens FireEye haben eine Schadsoftware entdeckt, die auf dem betroffenen Rechner keine Spuren hinterlässt, da sie im Arbeitsspeicher residiert. Die Infektion findet durch eine bisher unbekannte Lücke im Internet Explorer statt. Das Unternehmen soll derzeit daran arbeiten, die Lücke zu finden.

Bei der Schadsoftware handelt es sich um eine Variante von „Trojan.APT.9002“, der sich ebenfalls im Hauptspeicher des befallenen Rechners einnistet, ohne Spuren auf der Festplatte zu hinterlassen. Dieses Vorgehen hat Vor- und Nachteile. Für die Virenforscher wird die Identifizierung und Verfolgung schwieriger, da der Schadcode mit jedem Neustart des Rechners komplett verschwindet. Für die Angreifer ist dieser Vorteil gleichzeitig auch ein Nachteil, da sie nach der Infektion schnell handeln müssen.

Um diesen Nachteil auszugleichen, haben die Angreifer für die Infektion mit dem Schadcode eine Webseite präpariert, von der sie ausgehen, dass Anwender sie immer wieder frequentieren. Es soll sich nach Aussagen von FireEye um eine Seite zu nationaler und internationaler Sicherheitspolitik handeln. Nähere Angaben machen die Forscher dazu derzeit aus Sicherheitsgründen nicht. Welche Versionen des Internet Explorer die Zero-Day-Lücke ermöglichen ist bisher ebenfalls nicht bekannt.

Die Chance, dass der Anwender die Infektion bemerkt ist relativ gering, da sich auf der Festplatte nichts ändert. Die Angreifer müssen jedoch schnell reagieren, um den Rechner über „Command and Control Server“ unter ihre Kontrolle zu bringen, solange der Anwender den Rechner nicht neu startet. Nach dem nächsten Besuch der Webseite wird der Rechner von neuem infiziert. Diese Art des Angriffs nennt sich Advanced Persistent Threat (APT) und wird meist zielgerichtet zur Ausspähung von Unternehmen und Institutionen eingesetzt. Die Experten von FireEye fanden im Schadcode Hinweise auf das gleiche Vorgehen bei früheren Kampagnen wie etwa bei Operation DeputyDog. Mindestens eine der Domains für die C&C-Server der jetzigen Angriffe wurde bereits im Jahr 2011 benutzt.