Neue Erkenntnisse zu Flamer - Schadcode nutzt neuartige Verbreitungsmethode und Bluetooth
ID: 651098
Außerdem haben die Experten herausgefunden, welche Tricks Flamer einsetzt, um von einem auf andere Computer zu gelangen. Der Schadcode selbst verbreitet sich nicht automatisch, sondern nur dann, wenn die Angreifer es ihm befehlen.
Der Schädling Flamer ist extrem groß, so dass die Experten mit weiteren interessanten Tricks und neuen Techniken im Schadcode rechnen.
Die folgenden Verbreitungsmethoden wurden bisher identifiziert. Bis auf das letzte sind alle Verfahren bekannt. Das letzte Verfahren dagegen ist neu, da es symbolische Verknüpfungen nutzt. Weitere Details zu diesem Punkt sind auf diesem Blog zu finden.
- Flamer nutzt Netzwerk-Shares, auf die er mit Hilfe gestohlener Zugangscodes gelangt, beispielsweise die des Domain-Administrators.
- Flamer missbraucht die Schwäche im Printer Spooler von Windows (CVE-2010-2729), die zuvor bereits Stuxnet nutzte.
- Der Schadcode nutzt Wechselmedien, um sich über eine manipulierte automatische Startdatei "autorun.inf" zu verbreiten. Auch diese Methode hat Stuxnet eingesetzt.
- Der Schadcode setzt außerdem auf ein spezielles Verzeichnis auf Wechselmedien, das er geschickt versteckt. Dieses wird wegen seiner Schwäche in Windows (CVE-2010-2568) automatisch ausgeführt, sobald der Anwender das Wechselmedium anklickt. Auch diese Schwäche wurde bereits von Stuxnet ausgenutzt.
Zu dem Sinn der Bluetooth-Funktion haben die Experten von Symantec auf Basis der technischen Details drei Theorien entwickelt:
1. Der Code könnte alle Bluetooth-fähigen Geräte in der Nähe des infizierten Systems katalogisieren. Die Autoren könnten aus dieser Liste Rückschlüsse auf das soziale oder berufliche Umfeld des PC-Besitzers schließen.
2. Die Bluetooth-Option hilft dabei, die tatsächliche Lokation eines infizierten Rechners zu bestimmen. Die Autoren könnten Rückschlüsse ziehen, ob andere wichtige Ziele in der Nähe sind, seien es weitere Zielsysteme oder -personen.
3. Der Schadcode könnte weitere Bluetooth-Geräte in der Nähe angreifen und dort Informationen stehlen, indem er deren Datenverbindung abhört.
Zum jetzigen Zeitpunkt ist noch unklar, warum der Schadcode mit einer Bluetooth-Verbindung versehen wurde. Diese Szenarien in Verbindung mit der kontrollierten Verbreitungsmethode unterstreichen allerdings, dass Flamer als Spionage-Tool gedacht ist.
Weitere Details können Sie auf dem Security Response Blog finden. Bitte kommen Sie auf uns zu, falls Sie Fragen in einem persönlichen Gespräch mit den Experten von Symantec besprechen wollen.
Die neuesten Informationen von Symantec können Sie auch per Twitter unter Symantec_DACH verfolgen.
Unternehmensinformation / Kurzprofil:
Datum: 01.06.2012 - 15:00 Uhr
Sprache: Deutsch
News-ID 651098
Anzahl Zeichen: 3044
Kontakt-Informationen:
Stadt:
Ratingen
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 151 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Neue Erkenntnisse zu Flamer - Schadcode nutzt neuartige Verbreitungsmethode und Bluetooth"
steht unter der journalistisch-redaktionellen Verantwortung von
Symantec (Deutschland) GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Kurz vor dem Jahreswechsel geben Sicherheitsexperten von Symantec und Norton ihre Einschätzung über die Bedrohungen im Internet, mit denen im neuen Jahr zu rechnen ist: Integrierte Softwaresicherheit ? Security by Design Internet der Dinge (IoT) und Internet der Fahrzeuge (IoV):
Symantec lädt ein zur Diskussionsrunde „Was ist ein digitales Leben wert?“ ...
Verbraucher fürchten um ihre persönlichen Daten – so das Ergebnis einer aktuellen Studie von Symantec. Viele entscheiden sich beim Einkauf nicht mehr nur für ein Produkt oder eine Marke, sondern auch auf Basis ihrer Einschätzung, ob ihre Informationen in sicheren Händen sind. Dabei sind nur 2
Mit neuen Täuschungsmanövern haben erfahrene Angreifer freies Spiel in Unternehmensnetzwerken ...
In der heutigen vernetzten Welt ist die Frage nicht mehr, ob man angegriffen wird - sondern wann. Symantec (Nasdaq: SYMC) zeigt im Internet Security Threat Report (ISTR), Band 20, einen Taktikwechsel der Cyber-Angreifer: Sie infiltrieren Netzwerke und bleiben dabei unerkannt, indem sie die Infrastr
Weitere Mitteilungen von Symantec (Deutschland) GmbH
Dell bringt neue Latitude-Notebooks und OptiPlex-PCs auf den Markt ...
Dell hat die Notebooks der Latitude-E-Familie und Desktop-PCs der OptiPlex-Serie auf den neuesten Stand gebracht. Die Newcomer bieten nicht nur ein Top-Design, sondern lassen sich auch einfacher verwalten und haben zahlreiche Sicherheits-Features. Dell hat die Latitude-Notebooks und OptiPle
WebProspector bietet kostenlose Leads für den B2B-Vertrieb. ...
Der ifo Geschäftsklimaindex für die gewerbliche Wirtschaft Deutschlands ist im Mai stark gefallen. Für viele Unternehmen wird jetzt die Stärkung des eigenen Vertriebs immer wichtiger, um auch bei einer im branchenschnitt sinkenden Auftragslage überdurchschnittliche Ergebnisse realisieren zu kö
Zebra Technologies bringt neue ZT200? Druckerserie auf den Markt ...
Zebra Technologies Corporation , ein anerkannter, global führender Anbieter von Technologien zur Steigerung der Prozesstransparenz, gibt heute den Launch der Druckerserie ZT200 bekannt. Die neue Serie, die speziell für Anwendungen in der Konsumgüterindustrie und dem Handel entwickelt wurde, b
Öl&Gas-Branche trifft sich bei Implico ...
Implico bringt erneut die wichtigsten Marktteilnehmer der Mineralölbranche in Deutschland zusammen: 17 Teilnehmer aus 13 Unternehmen trafen sich Ende Mai zum diesjährigen Workshop der IFLEXX-Community am Hauptsitz des internationalen Beratungs- und Softwarehauses in Hamburg. Das Thema Datenkommu
