Simple Troll-Malware verwirrt iranische Experten

Die Sicherheitsforscher im Iran sehen sich mit einer neuen Malware konfrontiert, deren einziger Zweck die Löschung von Daten ist. Im aktuellen Fall können sie dabei allerdings recht entspannt bleiben.

In der Vergangenheit waren die IT-Systeme des Landes mehrfach Ziel von ausgeklügelten Malware-Attacken. Der bekannteste Vorfall war wohl Stuxnet. Der Schädling griff gezielt die Zentrifugensteuerungen in einer Aufbereitungsanlage für nukleare Brennstoffe an und sorgte für eine längere Verzögerung im iranischen Atomprogramm. Die Malware war so ausgeklügelt konzipiert, dass hinter ihr mit hoher Wahrscheinlichkeit staatliche Organisationen aus den USA oder Israel standen.

Im aktuellen Fall, von dem das iranische CERT berichtet, hat man es mit einem deutlich simpleren Tool zu tun, für dessen Entwicklung faktisch jeder mit durchschnittlichen Programmierkenntnissen verantwortlich sein kann. Da sich dieses allerdings ebenfalls gezielt gegen Rechner im Iran richtet, sind die Experten hellhörig geworden und rechnen im schlimmsten Fall damit, dass es sich um einen Warnschuss vor einer größeren Welle von Attacken zur Sabotage der iranischen IT-Infrastruktur handelt, mit denen nichtstaatliche Akteure gegen das Land vorgehen könnten.


Die eigentliche Schadroutine der neu gefundenen Malware wurde in einer simplen Batch-Datei für Windows-Systeme geschrieben, die anschließend mit einem BAT2EXE-Tool in eine normale ausführbare Datei umgewandelt wurde. Diese sorgt bei ihrer Aktivierung unter Windows für die Löschung der Daten in den Partitionen D bis I, der Nutzerprofile sowie der Inhalte auf dem Desktop. Anschließend lässt der Schädling noch einmal ein chkdsk über die Festplatte fahren - offenbar um vorzutäuschen, dass es sich um einen Hardware-Fehler handelt.

Die Routine wird nur an fest vorgegebenen Terminen aktiviert. Das erste Datum in der Liste ist Mitte Dezember bereits verstrichen, ohne, dass Berichte über Datenlöschungen die Sicherheitsexperten erreichten. Diese gehen deshalb von einer noch kaum vorhandenen Verbreitung aus. Weitere Aktivierungs-Termine reichen allerdings bis ins Jahr 2015.

Zu der Malware gehört außerdem eine SLEEP-Datei, bei der es sich um ein 16-Bit-Executable handelt, das auf modernen 64-Bit-Rechnern überhaupt nicht ausgeführt werden kann. Der Zweck dessen ist unklar. Verbreitet wird der Schädling über ein Dropper-File, das vordergründig ein hilfreiches Tool simulieren soll.
Diese Nachricht empfehlen
Videos zum Thema
 
Wie billig, schäm dich Iran auf so etwas reinzufallen ;-)
 
@Crunk-Junk: Wo steht da, sie wären darauf "reingefallen"?
 
Zitat: "außerdem eine SLEEP-Datei, bei der es sich um ein 16-Bit-Executable handelt, das auf modernen 64-Bit-Rechnern überhaupt nicht ausgeführt werden kann" auch mal etwas von CNC Maschinen -oder Industrieroboter gehört? ;) gewisse werden sogar noch mit DOS Systemen ausgeführt, dementsprechend ist auch die Leistung. Z.B sind bei solchen Maschinen 128MB RAM Riegel mit einer gewissen Taktung nicht unüblich (zur Veranschauung). Man könnte also damit die iranische Autoindustrie lahm legen...
 
@AlexKeller: Problem bei deiner Theorie, CNC-Maschinen hängen seltenst am Internet. ;)... Sicher wird heutzutage so ziehmlich jeder Toster as Internet gehängt, aber einige Firmen haben dann doch eingesehen das man nicht unbedingt muss.
 
@Tomarr: okay, stimmt auch wieder ;)


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

Beliebte Videos

powered by veeseo

Jetzt als Amazon Blitzangebot

Ab 17:59Sony Xperia SP SmartphoneSony Xperia SP Smartphone
Original Amazon-Preis
209,99
Blitzangebot-Preis
184,99
Ersparnis 12% oder 25
Jetzt Kaufen
Im WinFuture Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles