Schadsoftware Trojaner mit Sicherheitslücke

Was ist das Schlimmste, was einer Schadsoftware passieren kann? Selbst von Schadsoftware gekapert zu werden. Experten haben jetzt entdeckt, dass ein bekannter Trojaner eine große Sicherheitslücke birgt - die von der Konkurrenz ausgenutzt werden kann. Das macht den Trojaner doppelt bedrohlich.
Computerattacke: Was, wenn der Angreifer selbst angegriffen wird?

Computerattacke: Was, wenn der Angreifer selbst angegriffen wird?

Foto: Corbis

Eigentlich sollte der Computer-Wurm Koobface ein ganz böser Schädling sein. Seit 2008 treibt er in verschiedenen Varianten sein Unwesen und bedient sich ganz neuer - nun ja - Vertriebswege, um seine Fracht vom Computer zu Computer zu verbreiten. Seit einiger Zeit ist er sogar in einer Cross-Plattform-Version unterwegs, die sich auf Windows-PC, Linux-Rechnern und OS-X-Macs gleichermaßen heimisch fühlt. Doch jetzt haben die Schadsoftware-Experten von Symantec festgestellt: Die neuste Version von Koobface, genannt Janabot, nutzt nicht nur Sicherheitslücken, um sich auf Rechner einzuschleusen, er hat selbst welche - sehr zur Freude seiner Konkurrenten.

Dabei erschien der Fiesling, als er im Sommer 2008 erstmals die Runde machte, noch reichlich hinterhältig. Statt sich, wie bis dahin meist üblich, per E-Mail zu verbreiten, bediente er sich der Mechanismen sozialer Netzwerke. Selbst User, die konditioniert waren, Mails fragwürdiger Herkunft lieber gleich zu löschen und schon gar nicht auf irgendwelche Links darin zu klicken, fielen auf Koobface herein. Beispielsweise wenn der sich in MySpace oder Facebook als reizvoller Video-Link feilbot.

Und es wurde noch schlimmer. 2010 wurde Koobface zur Universalwaffe. Als Java-Software wurde er vom Betriebssystem unabhängig, konnte sich nicht nur auf Windows-PC, dem Lieblingsziel von Schadsoftware-Programmierern, sondern auch auf Linux- und Mac-Rechnern einnisten. Einmal programmieren, alle attackieren, könnte man sagen. Das Ziel, mit Koobface möglichst viele Rechner zu erreichen und zu einem ferngelenkten Botnet zusammenzuschalten, kam für seine Entwickler damit in greifbare Nähe.

Doch die Experten des Mac-Sicherheits-Blogs Intego merkten dazu sogleich an, dass eben die Entwickler dieser Variante wohl nicht ganz auf der Höhe der Zeit waren, als sie ihren Schädling auf die Piste schickten.

"Darf ich Deinen Rechner infizieren?"

Die Nutzung von Java nämlich machte den Schädling zwar universell einsetzbar, aber auch leicht bemerkbar. Denn eben weil er als Java-Applet gebaut worden war, musste er brav um die Erlaubnis des Anwenders bitten, sich installieren zu dürfen. Die Verschleierungsversuche des Wurms waren nicht sonderlich schwer zu durchschauen. Im Intego-Blog  hieß es denn auch: "Obwohl das ein ganz besonders bösartiges Stück Malware ist, ist die aktuelle Implementation für Mac OS X doch fehlerhaft, weswegen die Gefahr gering ist."

Dass dies aber nicht der einzige kapitale Fehler ist, der den Koobface-Machern unterlaufen ist, haben jetzt die Symantec-Forscher entdeckt. Deren Analyse des auch als Trojan.Jnanabot bezeichneten Schädlings hat hervorgebracht, dass ausgerechnet der Wurm selbst anfällig für Angriffe durch Schadsoftware ist.

Für die Entwickler ein herber Verlust

Im Symantec-Blog  erklärt Harshit Nayyar, wie Eindringlinge vorgehen könnten. Die Schwachstelle, so der Experte, liegt im Peer-to-Peer-Protokoll (P2P), das der Schädling benutzt, um mit anderen Infizierten übers Internet zu kommunizieren und Aktionen abzustimmen. Diese Schwachstelle erlaubt es Angreifern, Dateien zu stehlen oder eigene Dateien an beliebigen Orten auf den befallenen Rechnern abzulegen - auch im Verzeichnis für Startobjekte, von wo aus sie bei jedem Einschalten des Computers automatisch ausgeführt werden.

Auf diese Weise ließe sich beispielsweise ein Botnet aufbauen, das parallel zu dem durch Koobface konstruierten arbeitet - huckepack, so zu sagen. Ebenso gut könnten Cyber-Kriminelle aber auch das komplette Koobface-Botnet übernehmen und für eigene Zwecke nutzen. Angesichts der kommerziellen Ausrichtung vieler Botnets, die gegen Bezahlung fremde Rechner zum Absturz bringen oder Spam-Mails verschicken, wäre so etwas mit finanziellen Einbußen verbunden.

Besonders hoch dürften diese Einbußen freilich nicht sein. Denn wenn die Entwickler ihr Koobface-Botnet für derartige Aktionen anbieten, können die Preise nicht sonderlich hoch sein. Dem britischen " Register " gegenüber erklärte Symantec-Manager Dean Turner, die Zähl der infizierten Rechner betrage wohl einige Tausend Maschinen. Verglichen mit wirklich großen Botnets, deren Wirtsrechner in Hunderttausender-Stückzahlen gemessen werden, sind das Peanuts.

"Das Rezept für ein Desaster"

Harshit Nayyar warnt trotzdem: "Bei einem Rechner, der mit Janabot infiziert ist, stehen die Türen weit offen und darüber prangt ein großes 'Wilkommen'-Schild, das weitere Gäste einlädt". Darüber, ob den Programmierern des Schädlings - oder sonst irgendjemandem - diese Schwäche überhaupt bekannt ist, will Nayyar aber nicht einmal orakeln. Vielleicht sei es den Programmierern auch einfach egal, mutmaßt er. Janabots Schwäche gegenüber Angreifern zeige auf jeden Fall, "wie eine einzige Schadsoftware-Infektion die Tür für weitere Infektionen aufstoßen" könne.

"Deshalb stellt die Gegenwart von Janabot auf einem Rechner eine wesentlich größere Bedrohung dar, als wir bisher angenommen haben", sagt Nayyar und warnt: "Im Zusammenhang mit der Tatsache, dass Janabot verschiedene Plattformen infizieren kann, haben wir hier das Rezept für ein Desaster".

Die Wiedergabe wurde unterbrochen.