Spionageprogramm: Flame-Virus erhält Selbstmordbefehl

Lösche all deine Dateien, hinterlasse keine Spuren: Dies war der letzte Befehl, den der Flame-Spionagevirus von seinen Entwicklern empfing. Antivirus-Experten fingen den Selbstmordbefehl ab - und stießen auf ein neues Rätsel.

Flame-Programmcode: Selbstmord-Instruktionen vom Virenschreiber Zur Großansicht
dapd

Flame-Programmcode: Selbstmord-Instruktionen vom Virenschreiber

Jahrelang arbeitete der Computer-Virus Flame im Verborgenen, horchte Computer - vor allem im Nahen Osten - aus und schickte im Geheimen Informationen an seine Kontrollinstanzen. Doch kurz nachdem der Hackangriff und seine Methoden bekannt wurden, hat die Malware von ihren Machern den Befehl zur Selbstabschaltung empfangen: "Einige Flame-Kontrollserver", heißt es im Blog des Antivirus-Unternehmens Symantec, "haben [vor zwei Wochen] einen Befehl an einige betroffene Rechner geschickt, der Flame komplett von den infizierten Rechnern entfernen soll."

Dieser Befehl war eine einzige Datei: browse32.ocx - sie ging Symantec in eine speziell für Flame entworfene Malware-Falle. Dieses Modul enthalte Listen aller Dateien und Ordner, die von Flame benutzt werden. Es orte jeder dieser Dateien, lösche sie von der Festplatte und überschreibe den Speicherort mit zufälligen Zahlenketten, um eine nachträgliche Rekonstruktion ("undelete") des Virus zu verhindern. "[Das Modul] versucht keine Spuren der Infektion zu hinterlassen."

Das Modul wurde laut Symantec am 9. Mai von den Flame-Autoren fertiggestellt, nur wenige Wochen vor Bekanntwerden der digitalen Spionage-Kampagne. Im Flame-Programmcode selbst sei eine ähnliche Funktion eingebaut, die passenderweise "Suicide" heiße, Selbstmord. Warum die Flame-Autoren das externe Modul "browse32.ocx" und nicht den eingebauten "Suicide" benutzten, sei unklar.

Flame wurde im Mai vom Antivirus-Unternehmen Kaspersky Lab entdeckt - worauf sich eine Diskussion um Schaden, Reichweite und Autorenschaft entwickelte. Denn ob Flame tatsächlich "eine der komplexesten Bedrohungen, die je entdeckt worden sind" ist, wie Kaspersky damals sagte, darüber stritten sich die Experten zunächst heftig. Nur ein Beispiel: Flame ist 20 Megabyte groß und teilweise in einer ungewöhnlichen, völlig ungeschützten Skript-Programmiersprache geschrieben. Ist das nun amateurhaft - oder ein cleverer Schutz vor den Antivirus-Programmen, die immer auf der Suche nach dem Unauffälligen, dem Suspekten sind?

Flame war vermutlich nicht am normalen Surfer interessiert

Klar ist: Flame blieb offenbar jahrelang unbemerkt - die ersten Infektionen ließen sich bis Frühjahr 2010 zurückverfolgen. Möglich, dass er schon viel länger, zum Beispiel seit 2007 im Einsatz war. Einzelne Module des Virus seien von "Weltklasseexperten" entwickelt worden, sagen Experten - etwa die Funktion, dank der sich Flame als Windows Update ausgeben kann.

Für den normalen Surfer bedeutet das zweierlei: Flame ist ein hochkomplexer Schädling, den keine Antivirus-Software aufhalten konnte. Aber er wurde in Spionage- und nicht in herkömmlich krimineller Absicht geschrieben. Er zielte nicht auf die Massen ganz normaler Surfer ab, sondern vermutlich auf Unternehmens- und Regierungsnetze.

fkn

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 5 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Zivil o. geheimdienstlich
dr.u. 11.06.2012
Zitat von sysopdapdLösche all deine Dateien, hinterlass keine Spuren: Dies war der letzte Befehl, den der Flame-Spionagevirus von seinen Entwicklern empfing. Antivirus-Experten fingen den Selbstmord-Befehl ab - und stießen auf ein neues Rätsel. http://www.spiegel.de/netzwelt/web/0,1518,838081,00.html
Selbst wenn Flame das Produkt eines geheimdienstlichen Entwicklung ist, zeigt er doch Bedrohungs- und Invektionswege auf, die zivile, kriminelle Nachahmer inspirieren kann. Allein die Erkenntnis, einen Schädling wieder restlos vom infizierten System tilgen zu können und die damit verbundenen Vorteile. * Wenn alle Infektionsspuren restlos getilgt werden, wird es nie möglich sein, das wahre Ausmaß einer Angriffs-/Infektionswelle zu ermitteln * Wer nicht weiß, dass er ausspioniert wird, kann auch im Nachhinnein keine entsprechenden Anhaltspunkte auf den eigenen Systemen ermitteln. Nur die Gier der zweifelhaften Malware und Trojaner Entwickler und Verbreiter, dauerhaft einen Zombirechner im Zugriff zu haben, hat in der Vergangenheit eine gute Schutz- und Entdeckungsmöglichkeit ermöglicht. Hoffen wir, das die kriminellen Datensammler weiterhin gierig bleiben.
2. Sagt 'mal
Friedr.-W.H. Rahe 11.06.2012
Leute, kann man für wichtige bzw. geheime Entwicklungen nicht unvernetzte Computer einsetzen und die auf mobilen Speichern archivierten Daten notfalls per Boten dahin bringen, wo sie hin sollen? Ist doch sicherer, oder?
3.
Peter Werner 11.06.2012
Zitat von Friedr.-W.H. RaheLeute, kann man für wichtige bzw. geheime Entwicklungen nicht unvernetzte Computer einsetzen und die auf mobilen Speichern archivierten Daten notfalls per Boten dahin bringen, wo sie hin sollen? Ist doch sicherer, oder?
Mir wird es ebenfalls recht schummrig, wenn ich darüber nachdenke, dass Dinge wie Atomkraftwerke oder Raketensilos - direkt oder indirekt - mit dem Internet oder auch nur irgendwelchen anderen Netzen verbunden sind. Netzwerkstecker ziehen, WLAN-Chips und ähnliches gar nicht erst einbauen, Datenübertragung per Boten. Sehe ich genauso. Alles andere ist ein nicht akzeptables Risiko.
4. gibts schon
Ha.Maulwurf 11.06.2012
Zitat von Friedr.-W.H. RaheLeute, kann man für wichtige bzw. geheime Entwicklungen nicht unvernetzte Computer einsetzen und die auf mobilen Speichern archivierten Daten notfalls per Boten dahin bringen, wo sie hin sollen? Ist doch sicherer, oder?
So was nennt man Turnschuhnetzwerk: Turnschuhnetzwerk (http://de.wikipedia.org/wiki/Turnschuhnetzwerk) . Natürlich. Sie müssen nur darauf achten, dass auch die Datenträger ausschließlich an "sauberen" Rechnern verwendet werden.
5. Turnschuh-Netzwerk
Emil Peisker 11.06.2012
Zitat von Friedr.-W.H. RaheLeute, kann man für wichtige bzw. geheime Entwicklungen nicht unvernetzte Computer einsetzen und die auf mobilen Speichern archivierten Daten notfalls per Boten dahin bringen, wo sie hin sollen? Ist doch sicherer, oder?
Mache ich schon Beginn des Internets an. Alle Grafikrechner, die sehr aufwändige Arbeiten bearbeiten, sind nicht am Netz. Jede Datenzuspielung geht vorher durch AV-Filter. Die Hotplug-HDD gehen manchmal auch über Nacht in den Safe. Mir hat in den späten 80ern ein Mitarbeiter eine Entwicklung geklaut, die 2 Mannjahre benötigte. Ich hatte zwar eine Kopie, aber die Idee war schon bei der Konkurrenz im Ausland.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Viren
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 5 Kommentare
Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.