© Kaspersky Labs

Virus
06/04/2012

Flame infiziert Computer per Windows Update

Kaspersky hat neue Erkenntnisse über Flame veröffentlicht. Der Virus, der hauptsächlich Rechner im Nahen Osten attackiert, versucht sich als Windows Update getarnt über das Netzwerk auszubreiten. Viele der Domains, die angelegt wurden um Flame zu steuern, wurden mit falschen Adressen in Wien registriert.

Kaspersky hat in Zusammenarbeit mit GoDaddy und OpenDNS den Spionage-Trojaner Flame genau untersucht und neue Details zum Schädling und seiner Infrastruktur veröffentlicht. Besorgniserregend ist, dass sich Flame als Windows Update tarnt, um andere Rechner im Netzwerk zu infizieren.

Das Modul „Gadget" von Flame fungiert dabei als Man-in-the-Middle und verteilt infizierte Update-Pakete. Konkret nannte Kasperskys Virenexperte Costin Raiu das Paket „WuSetupV.exe". Ein Tweet von Raiu deutet auch darauf hin, dass Flame die infizierten Update-Pakete über einen virtuellen Rechner im Netzwerk namens MSHOME-F3BE293C verteilt. Das Paket hat ein gültiges Microsoft-Zertifikat. Microsoft hat bestätigt, dass Flame offizielle Microsoft-Zertifikate nutzt, gab aber nicht bekannt, wie die Programmierer des Schädlings Zugriff auf die Zertifikate erhalten haben.

Noch steht nicht fest, ob Flame durch die gefälschten Update-Pakete wirklich in andere Rechner eindringen konnte oder ob Windows diese Art der Verbreitung geblockt hat. Raiu hat außerdem festgestellt, dass das „Gadget"-Modul nur aktiv wird, wenn die eingestellte Zeitzone am Computer GMT+2 oder höher ist – was ua. den Zeitzonen im Nahen Osten entspricht.

URLs mit Wiener Adressen registriert
Laut Kaspersky waren mindestens 15 Server im Einsatz, die Flame gesteuert haben. Jeder Server war mindestens für 50 Opfer zuständig. Wenige Stunden nachdem Kaspersky die Entdeckung von Flame bekannt gegeben hat, sollen die Server offline gegangen sein.

Die Server kommunizierten mit den infizierten Rechnern über mindestens 80 Domains, die zwischen 2008 und 2012 angelegt wurden. Die meisten Domains wurden über GoDaddy registriert. Für die Registrierung wurden falsche Identitäten verwendet. Jede Identität hat zwei bis drei Domains registriert. Viele der falschen Identitäten nutzen ebenso falsche Adressen in Deutschland und Österreich, insbesondere Wien. „Wir kennen nicht den Grund, warum Wien so eine attraktive Wahl für die Angreifer war", schreibt Kaspersky in einem Blog-Eintrag.

Die Kontroll-Server für Flame standen in verschiedenen Ländern, darunter Deutschland, Türkei, die Niederlande, Schweiz, Großbritannien und Hong Kong.

Dokumente und Baupläne gestohlen
Kaspersky konnte viele der Domains so umleiten, dass die durch Flame gestohlenen Daten nicht zu den Servern, sondern zu Kaspersky geschickt wurden. Ein Großteil der Daten sollen Office-Dokumente, PDFs und AutoCAD-Zeichnungen, wie sie etwa für Baupläne genutzt werden, gewesen sein.

Mit 185 Fällen sind die meisten Opfer im Iran. Auf Platz Zwei ist Israel und Palästina mit 95, gefolgt vom Sudan mit 32. In den USA gibt es elf infizierte Rechner, in Großbritannien fünf und in Österreich zwei. In Deutschland wurde nur ein infizierter Computer ausgemacht.

50 Prozent der infizierten Rechner nutzen Windows 7, 45 Prozent Windows XP und 5 Prozent Windows Vista. Die betroffenen Rechner mit Windows 7 nutzen die 32-Bit-Version. Die 64-Bit-Version von Windows 7 ist laut Kaspersky sicher vor Flame.

Mehr zum Thema

  • Britischer Minister: "Viren sind zivilisiert"
  • Flame: Kaspersky warnt erneut vor dem Virus
  • Bericht: Obama befahl Stuxnet-Angriff auf Iran