Digital Life
03.05.2018

Nordkorea nutzt zehn Jahre alten raubkopierten Virenscanner

Die Software basiert auf einem alten, gestohlenen Code und übersieht absichtlich bestimmte Schadprogramme.

Nordkorea bringt die IT-Welt immer wieder zum Schmunzeln. Das beginnt beim Android-Tablet, das iPad heißt, dem Volks-Smartphone, das wie ein iPhone aussieht, dem Linux-Betriebssystem Redstar, das mal wie Windows, mal wie Mac OS aussieht und endet beim schlecht gesicherten Facebook-Klon.

Der neueste Eintrag in die Liste der kuriosen IT-Fundstücke aus Nordkorea ist SiliVaccine, das staatliche Antiviren-Programm. Entdeckt wurde es vom Journalisten Martyn Williams, der es von einem angeblichen, japanischen Programmierer bereits im Jahr 2014 zugespielt bekommen hat. Das IT-Sicherheitsunternehmen Check Point hat jetzt SiliVaccine genauer unter die Lupe genommen.

10 Jahre alt

Laut Check Point besteht der Code von SiliVaccine zum Großteil aus einer zehn Jahre alten Antivirus-Engine des japanischen Unternehmens Trend Micro. Wie die Entwickler von SiliVaccine an den Code gekommen sind, ist unbekannt.

Trend Micro gibt jedenfalls an, keine Geschäftsbeziehungen zu Nordkorea zu haben oder gehabt zu haben. Der Code sei unlizenziert und würde illegal genutzt werden. Laut Check Point sei es möglich, dass der Code über einen Drittanbieter, der von Trend Micro die Anti-Viren-Software lizensiert und unter anderen Namen veröffentlicht hat, nach Nordkorea gekommen ist.

Durchlässig

Laut Check Point funktioniert SiliVaccine nur in Nordkorea. Die Signatur-Datenbank der Software wurde so manipuliert, dass sie eine bestimmte Malware absichtlich übersieht. Dabei handelt es sich um MAL_NUCRP-5. Laut Trend Micro zeigen Dateien mit dieser Signatur auffälliges Verhalten und Ähnlichkeiten zu den Malware-Varianten Nuwar, Tibs und Zhelat. Diese wurden etwa für die Verbreitung von Trojanern verwendet und um Botnetze aufzubauen. Warum Nordkorea diese Signatur von SiliVaccine nicht erkennen lässt, ist nicht bekannt. Laut Check Point sei lediglich klar, dass Nordkorea nicht will, dass seine User die Malware entdecken.

Bei der Version von SiliVaccine, die Williams zugespielt wurde, war auch eine separate Update-Datei im ZIP-File. Diese enthielt die Malware Jaku, die ua. verwendet wurde, um gezielt Personen in Südkorea und Japan auszuspionieren. Check Point vermutet, dass diese Update-Datei möglicherweise nicht ein fixer Bestandteil von SiliVaccine ist, sondern nur angehängt wurde, um die Computer von Williams und die von anderen Leakern von SiliVaccine zu infizieren.