Stuxnet-Nachfolger nutzt Zero-Day in Windows Kernel

Über das Zero-Day-Leck im Windows-Kernel und über modifizierte Word-Dokumente befällt DuQu Systeme, wie Kevin Haley, Direktor von Symantec Security Response, mitteilt.

Auch das ungarische Sicherheitsunternehmen Cryptography and System Security (CrySyS) berichtet auf seiner Webseite mit wenigen Worten von dem Leck.

Ein Microsoft-Sprecher erklärte, dass der Softwarehersteller über das Problem informiert sei. “Wir arbeiten mit unseren Partnern zusammen, um Schutz für eine Schwachstelle bereitstellen zu können, die für zielgerichtete Angriffe auf Computer mit der DuQu-Malware benutzt wird.” Microsoft arbeite bereits an einer Lösung für das Problem. Unklar ist, ob das Update Bestandteil des November-Patchdays am kommenden Dienstag sein wird.

Die meisten Antivirenprogramme seien inzwischen in der Lage, DuQu zu erkennen und zu blockieren, teilte Symantec mit. Bis zur Behebung des Problems durch Microsoft, sollten Unternehmen Word-Dokumente aus unbekannten Quellen nicht öffnen. Die von dem Sicherheitsunternehmen aufgespürte Word-Datei sei jedoch nur für ein bestimmtes Unternehmen zusammengestellt worden. Außerdem habe der Schadcode in diesem Fall Rechner nur während eines Zeitraums von acht Tagen im August infizieren können.

Zahlen zur Verbreitung von DuQu nannte Symantec nicht; das Unternehmen nennt die Verbreitung jedoch nicht sonderlich hoch. Es seien dennoch inzwischen Infektionen in sechs Organisationen in acht Ländern bekannt: in Frankreich, den Niederlanden, der Schweiz, der Ukraine, dem Iran, dem Sudan und Vietnam. In einigen Fällen habe man den Trojaner zu einem Internet Service Provider zurückverfolgen können. Die tatsächliche Herkunft des Schädlings sei aber unbekannt. Andere Sicherheitsfirmen wollen den hochentwickelten Schadcode auch in Österreich, Ungarn, Indonesien und Großbritannien gefunden haben.


Die Verbreitung von DuQu nach Ländern. Quelle: Symantec

Innerhalb eines Unternehmens kann sich DuQu über Netzwerkfreigaben verbreiten und darüber auch Rechner erreichen, die nicht mit dem Internet verbunden sind, sagte Haley. Zudem habe sich gezeigt, dass die Malware Befehle von Servern in Indien und Belgien erhalte. “Das Geheimnis, wie die Schad-Software auf die Rechner kommt, wurde damit gelöst. Zumindest in diesem Fall.” Ziel von DuQu sei es, Daten zu sammeln. “Wir wissen aber immer noch nicht, wozu sie die Informationen verwenden werden.”

Die Autoren von DuQu hatten Symantec zufolge offensichtlich Zugriff auf den Quellcode von Stuxnet. Während Stuxnet aber Industriekontrollsysteme (Scada) von Siemens ins Visier nahm und damit scheinbar das Kernforschungsprogramm des Iran sabotieren wollte, installiert DuQu auf Windows-Systemen eine Hintertür und sammelt Dokumente wie Konstruktionspläne. Er sei wohl nicht dafür gedacht, den Betrieb von Industrieanlagen zu stören, heißt es.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

6 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

1 Woche ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago