Simple Troll-Malware verwirrt iranische Experten

Malware, Stuxnet, Zahlen, grün Bildquelle: marsmet481 / Flickr
Die Sicherheitsforscher im Iran sehen sich mit einer neuen Malware konfrontiert, deren einziger Zweck die Löschung von Daten ist. Im aktuellen Fall können sie dabei allerdings recht entspannt bleiben. In der Vergangenheit waren die IT-Systeme des Landes mehrfach Ziel von ausgeklügelten Malware-Attacken. Der bekannteste Vorfall war wohl Stuxnet. Der Schädling griff gezielt die Zentrifugensteuerungen in einer Aufbereitungsanlage für nukleare Brennstoffe an und sorgte für eine längere Verzögerung im iranischen Atomprogramm. Die Malware war so ausgeklügelt konzipiert, dass hinter ihr mit hoher Wahrscheinlichkeit staatliche Organisationen aus den USA oder Israel standen.

Im aktuellen Fall, von dem das iranische CERT berichtet, hat man es mit einem deutlich simpleren Tool zu tun, für dessen Entwicklung faktisch jeder mit durchschnittlichen Programmierkenntnissen verantwortlich sein kann. Da sich dieses allerdings ebenfalls gezielt gegen Rechner im Iran richtet, sind die Experten hellhörig geworden und rechnen im schlimmsten Fall damit, dass es sich um einen Warnschuss vor einer größeren Welle von Attacken zur Sabotage der iranischen IT-Infrastruktur handelt, mit denen nichtstaatliche Akteure gegen das Land vorgehen könnten.

Die eigentliche Schadroutine der neu gefundenen Malware wurde in einer simplen Batch-Datei für Windows-Systeme geschrieben, die anschließend mit einem BAT2EXE-Tool in eine normale ausführbare Datei umgewandelt wurde. Diese sorgt bei ihrer Aktivierung unter Windows für die Löschung der Daten in den Partitionen D bis I, der Nutzerprofile sowie der Inhalte auf dem Desktop. Anschließend lässt der Schädling noch einmal ein chkdsk über die Festplatte fahren - offenbar um vorzutäuschen, dass es sich um einen Hardware-Fehler handelt.

Die Routine wird nur an fest vorgegebenen Terminen aktiviert. Das erste Datum in der Liste ist Mitte Dezember bereits verstrichen, ohne, dass Berichte über Datenlöschungen die Sicherheitsexperten erreichten. Diese gehen deshalb von einer noch kaum vorhandenen Verbreitung aus. Weitere Aktivierungs-Termine reichen allerdings bis ins Jahr 2015.

Zu der Malware gehört außerdem eine SLEEP-Datei, bei der es sich um ein 16-Bit-Executable handelt, das auf modernen 64-Bit-Rechnern überhaupt nicht ausgeführt werden kann. Der Zweck dessen ist unklar. Verbreitet wird der Schädling über ein Dropper-File, das vordergründig ein hilfreiches Tool simulieren soll. Malware, Stuxnet, Zahlen, grün Malware, Stuxnet, Zahlen, grün marsmet481 / Flickr
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 09:59Samsung UE65HU7200 163 cm (65 Zoll) Curved Ultra HD LED-Fernseher (800Hz CMR, WLAN, Smart TV)Samsung UE65HU7200 163 cm (65 Zoll) Curved Ultra HD LED-Fernseher (800Hz CMR, WLAN, Smart TV)
Original Amazon-Preis
2.556,69
Blitzangebot-Preis
2.199
Ersparnis 14% oder 357,69
Jetzt Kaufen
Im WinFuture Preisvergleich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden