Spionageprogramm Flame-Virus erhält Selbstmordbefehl

Lösche all deine Dateien, hinterlasse keine Spuren: Dies war der letzte Befehl, den der Flame-Spionagevirus von seinen Entwicklern empfing. Antivirus-Experten fingen den Selbstmordbefehl ab - und stießen auf ein neues Rätsel.
Flame-Programmcode: Selbstmord-Instruktionen vom Virenschreiber

Flame-Programmcode: Selbstmord-Instruktionen vom Virenschreiber

Foto: dapd

Jahrelang arbeitete der Computer-Virus Flame im Verborgenen, horchte Computer - vor allem im Nahen Osten - aus und schickte im Geheimen Informationen an seine Kontrollinstanzen. Doch kurz nachdem der Hackangriff und seine Methoden bekannt wurden, hat die Malware von ihren Machern den Befehl zur Selbstabschaltung empfangen: "Einige Flame-Kontrollserver", heißt es im Blog des Antivirus-Unternehmens Symantec , "haben [vor zwei Wochen] einen Befehl an einige betroffene Rechner geschickt, der Flame komplett von den infizierten Rechnern entfernen soll."

Dieser Befehl war eine einzige Datei: browse32.ocx - sie ging Symantec in eine speziell für Flame entworfene Malware-Falle. Dieses Modul enthalte Listen aller Dateien und Ordner, die von Flame benutzt werden. Es orte jeder dieser Dateien, lösche sie von der Festplatte und überschreibe den Speicherort mit zufälligen Zahlenketten, um eine nachträgliche Rekonstruktion ("undelete") des Virus zu verhindern. "[Das Modul] versucht keine Spuren der Infektion zu hinterlassen."

Das Modul wurde laut Symantec am 9. Mai von den Flame-Autoren fertiggestellt, nur wenige Wochen vor Bekanntwerden der digitalen Spionage-Kampagne. Im Flame-Programmcode selbst sei eine ähnliche Funktion eingebaut, die passenderweise "Suicide" heiße, Selbstmord. Warum die Flame-Autoren das externe Modul "browse32.ocx" und nicht den eingebauten "Suicide" benutzten, sei unklar.

Flame wurde im Mai vom Antivirus-Unternehmen Kaspersky Lab entdeckt - worauf sich eine Diskussion um Schaden, Reichweite und Autorenschaft entwickelte. Denn ob Flame tatsächlich "eine der komplexesten Bedrohungen, die je entdeckt worden sind" ist, wie Kaspersky damals sagte, darüber stritten sich die Experten zunächst heftig. Nur ein Beispiel: Flame ist 20 Megabyte groß und teilweise in einer ungewöhnlichen, völlig ungeschützten Skript-Programmiersprache geschrieben. Ist das nun amateurhaft - oder ein cleverer Schutz vor den Antivirus-Programmen, die immer auf der Suche nach dem Unauffälligen, dem Suspekten sind?

Flame war vermutlich nicht am normalen Surfer interessiert

Klar ist: Flame blieb offenbar jahrelang unbemerkt - die ersten Infektionen ließen sich bis Frühjahr 2010 zurückverfolgen. Möglich, dass er schon viel länger, zum Beispiel seit 2007 im Einsatz war. Einzelne Module des Virus seien von "Weltklasseexperten" entwickelt  worden, sagen Experten - etwa die Funktion, dank der sich Flame als Windows Update ausgeben kann.

Für den normalen Surfer bedeutet das zweierlei: Flame ist ein hochkomplexer Schädling, den keine Antivirus-Software aufhalten konnte. Aber er wurde in Spionage- und nicht in herkömmlich krimineller Absicht geschrieben. Er zielte nicht auf die Massen ganz normaler Surfer ab, sondern vermutlich auf Unternehmens- und Regierungsnetze.

fkn
Die Wiedergabe wurde unterbrochen.