Neue Schadsoftware: Trojaner "Gauss" späht Bankdaten aus

Von und

Sicherheitsexperten haben bei der Analyse des Schadprogramms "Flame" eine spezielle Anpassung entdeckt: Ein Trojaner namens "Gauss" späht Transaktionen beim Online-Banking aus. Betroffen sind weltweit mehrere tausend Rechner - es besteht kein Zweifel, dass es sich um eine Cyber-Waffe handelt.

Screenshot: Entschlüsselte "Gauss"-Konfiguration Zur Großansicht
Kaspersky Lab

Screenshot: Entschlüsselte "Gauss"-Konfiguration

Berlin - Die russische IT-Sicherheitsfirma Kaspersky hat eine Schadsoftware entdeckt, die offenbar in staatlichem Auftrag Bankdaten im Nahen Osten ausgespäht hat. Bei dem Trojaner handle es sich um eine spezielle Anpassung des riesigen Schadprogramms "Flame", sagte Kaspersky-Chefanalyst Magnus Kalkuhl am Donnerstag der Nachrichtenagentur dpa. "Flame" wurde im Mai von Kaspersky entdeckt und nach Informationen der "Washington Post" von den USA und Israel entwickelt.

"Offenbar haben wir eine neue Entwicklung der "Flame"-Autoren entdeckt", sagte Witalij Kamluk von Kaspersky am Donnerstag in einer Online-Pressekonferenz, "erstmals sehen wir, dass diese Angreifer ihr Interesse auf Finanzinformationen konzentrieren." Die Kontrollserver, von denen der Virus Befehle empfängt, seien jedoch seit Mitte Juli offline. Betroffen sind von dem Befall Windows-Rechner, vor allem solche, auf denen Windows 7 oder XP läuft.

Auf dem hauseigenen Blog Securelist beschreiben die russischen Experten ihre Entdeckung. Der Online-Banking-Trojaner namens "Gauss" leitet im Unterschied zu den bekannten Werkzeugen von kriminellen Internetbetrügern keine Bankgeschäfte zum Schaden der Nutzer ein, sondern späht aus, welche Banktransaktionen vorgenommen werden. Es sei aufgrund der zeitlichen Abfolge sogar möglich, dass "Gauss" den auf der gleichen Plattform wie "Flame" und "Stuxnet" entwickelten Spionagevirus "Duqu" haben ablösen sollen, sagte Kamluk, in jedemfall sei "Gauss" "auch mit 'Duqu' verwandt". Der Stuxnet-Virus zielte auf Uranzentrifugen in der iranischen Atomanlage Natans und gilt bis heute als ausgefeilteste je in freier Wildbahn entdeckte Cyberwaffe. Alle vier, Stuxnet, "Duqu", "Flame" und "Gauss" basieren Kaspersky zufolge auf derselben Plattform, die die dortigen Sicherheitsforscher "Tilded" getauft haben. Was den Urheber angeht, geben sich die Russen weiterhin bedeckt: "Die Informationen, die wir bis jetzt haben, verraten nicht den Schöpfer oder Lenker des Virus."

Der Virus ist, wie "Flame", modular aufgebaut und enthält eine Vielzahl von Funktionen: Er Überwacht das Surfverhalten, protokolliert Passwörter, Cookies und Browser-History, sammelt Informationen über diverse Merkmale des befallenen Rechners wie Netzwerkverbindungen, Hardware, Ordner und laufende Prozesse. Zudem ist er darauf eingerichtet, an den befallenen PC angeschlossene USB-Laufwerke mit einem Spionagemodul zu infizieren, um Informationen von weiteren Rechnern zu entwenden.

Verschlüsselte, geheime Ladung an Bord

Laut Kaspersky wurden die meisten "Gauss"-Infektionen im Libanon festgestellt - im Gegensatz zu "Flame", der sich hauptsächlich im Iran ausgebreitet hat. "Gauss" sei vermutlich etwa seit September 2011 aktiv, sagte er weiter. Im Mai sei er erstmals von einer Antivirensoftware entdeckt worden. Im Juni und Juli sind rund 2500 Infektionen von PC registriert worden, darunter mehr als 1600 im Libanon, 480 in Israel und 260 in den palästinensischen Gebieten, sagte Kamluk. In der Türkei und Syrien seien nur vereinzelt Rechner von "Gauss" befallen gewesen. "Der nahe Osten entwicklt sich zu einer zentralen Arena für Cyber-Kriegsführung", sagt Vitaly Kamluk, und: "Wir haben keine Banken in Westeuropa als Ziele ausgemacht."

Der Name des deutschen Mathematikers Carl Friedrich Gauß sei im Code der Hauptkomponente des Trojaners gefunden worden, erklärte Kalkuhl. Die Schadsoftware infiziert nach seinen Angaben Windows-Computer und USB-Sticks und überträgt die ausgespähten Daten zu einem nicht näher bezeichneten Server. Nach 30 Einsätzen zerstört sich "Gauss" selbst und ist dann nicht mehr sichtbar. Der Virus enthält Kamluk zufolge eine verschlüsselte, "geheime Ladung", die Kaspersky nicht habe entschlüsseln können. Sie werde vermutlich erst auf bestimmten Systemen mit bestimmten Umgebungsbedingungen entschlüsselt und aktiviert. Es bestehe kein Zweifel daran, "dass es sich hier um eine Cyberwaffe handelt".

Mit Material von dpa

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 3 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Amateure
napoleon1st 09.08.2012
Zitat von sysopKaspersky LabSicherheitsexperten haben bei der Analyse des Schadprogramms Flame eine spezielle Anpassung entdeckt: Ein Trojaner namens Gauss späht Transaktionen beim Online-Banking aus. Betroffen sind weltweit mehrere Tausend Rechner - es besteht kein Zweifel, dass es sich um eine Cyber-Waffe handelt. http://www.spiegel.de/netzwelt/web/0,1518,849171,00.html
Wieso der Aufwand? Kauft doch einfach CDs. Oder noch besser DVDs.
2. Fraglich....
adamsh 09.08.2012
1) Es betraf wieder keine gehärteten Ziele, sondern PCs mit dem Betriebssystem Windows NT *. 2) Dass dieser Code wirklich gegen OK gerichtet sein sollte, dürfte auszuschließen sein. Welcher organisierte Kriminelle rechnet über Bankkonten ab und benutzt dazu Windows-Rechner. Solche Knilche können sich AS/400 und aufwärts leisten... 3) Dient dieser Schadcode letztendlich nur dem Schutz von Quellen? Damit man eine Legende hat, wie man an Erkenntnisse gelangt sei... 4) Warum ist dieser Code nicht in DACH aufgetaucht? Hat man überhaupt danach gesucht? fragt sich sehr verwundert HA
3. Keine Banken in Westeuropa als Ziel
Gestatten?_Schmidt 09.08.2012
"Wir haben keine Banken in Westeuropa als Ziele ausgemacht." sagt Vitaly Kamluk. Ja, Herr Kamluk, das ist wenig erstaunlich, wir in Westeuropa sind nämlich so nett und liefern unseren Freunden von der CIA einfach sämtliche in Europa getätigten Banktransaktionen frei Haus als CSV-File: http://www.foonds.com/article/19650/ Und siehe, es wirkt: Außer ein paar verirrten Freiheitskämpfern im Sauerland haben wir kein Problem mit Terror.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Computerviren
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 3 Kommentare

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.