Aktuelles als Feed erhalten

Aktuelles aus dem Labor als RSS 2.0 Feed erhalten Aktuelles aus dem Labor als ATOM 1.0 Feed erhalten
Aktuelles aus dem Labor als RSS 1.0 Feed erhalten Aktuelles aus dem Labor als ATOM 0.3 Feed erhalten

Aktuelle Signaturdatenbank

CeBIT Studio

Testsieger sind nicht unbedingt die besten Produkte. Erfahren Sie mehr  über die wahren Hintergründe von Vergleichstests und wie man deren  Ergebnisse richtig deutet.

Videovortrag auf der CeBIT 2010



Spionage-Wurm greift Überwachungssysteme an


Win32/Stuxnet hat Industrieanlagen und Kraftwerke in den USA und Iran im Visier

Jena, 21. Juli 2010 – Seit einigen Tagen befällt der Wurm Win32/Stuxnet vor allem in den USA und dem Iran das sogenannte SCADA-System (Supervisory Control and Data Acquisition). SCADA überwacht und steuert technische Prozesse in der Großindustrie, wie beispielsweise Kraftwerke. Aufgrund der hochprofessionellen Vorgehensweise gehen Experten davon, dass Terroristen oder Geheimdienste hinter den Malware-Attacken stehen könnten.

Zielgerichtete Verbreitung

Im Gegensatz zu der meisten Malware ist die Verbreitung von Win32/Stuxnet regional stark begrenzt. Offensichtlich sollte eine breite Streuung vermieden werden.

eset_stuxnet_web

USA

57,71%

Iran

30,00%

Russland

4,09%

Indonesien

3,04%

Faröer Inseln

1,22%

Großbritannien

0,77%

Türkei

0,49%

Spanien

0,44%

Indien

0,29%

Restliche Welt

1,73%

 

“Für zielgerichtete Attacken müssen viele Tests durchgeführt werden, damit der Code nur dort zuschlägt, wo er auch angreifen soll. Eine weite Verbreitung ist in einem solchen Fall völlig unproduktiv. Sollten beispielsweise nur Systeme in den USA angegriffen werden, wollen Angreifer eine weltweite Streuung tunlichst vermeiden.“ sagt Randy Abrams, Technischer Direktor von ESET in den USA.

Ausnutzung von zero-day-Exploits

„Der Wurm ist ein Paradebeispiel dafür, wie zero-day-Sicherheitslücken zielgerichtet für Attacken ausgenutzt werden. Und auch dafür, dass die Industrie-Spionage immer mehr Malware einsetzt. Die spannende Frage ist, warum gerade die USA und der Iran davon betroffen sind“, meint Juraj Malcho, Leiter der ESET Virus Labs in Bratislava (Slowakien). Vor dem Hintergrund des Atomstreits zwischen den USA und dem Iran enthält diese Malware-Attacke besondere Brisanz. So kommen als Urheber von Win32/Stuxnet Geheimdienste ebenso in Frage wie auch Terroristen. „ Die Möglichkeit, dass Kraftwerke über das Internet angegriffen werden könnten, ist für Terroristen höchst attraktiv.“, warnt Randy Abrams.

Arbeitsweise von Win32/Stuxnet

Win32/Stuxnet nutzt eine Sicherheitslücke bei der Anzeige von LNK-Dateien aus. Sobald Windows Shell das Icon einer LNK-Datei aufruft, wird ein Parameter nicht ausreichend geprüft und schädlicher Code kann ausgeführt werden. Für eine Infektion muss ein Anwender nicht einmal das Icon anklicken. Alle Betriebssysteme seit Windows XP sind davon betroffen.

Heimanwender selten infiziert

Durch die gezielte Verbreitung auf industrielle Ziele sind Heimanwender bislang kaum betroffen. Dies kann sich aber schlagartig ändern, meint Thomas Uhlemann von ESET in Deutschland: „Die Wahrscheinlichkeit ist hoch, dass Nachahmer diese Lücke für ihre Zwecke zeitnah ausnutzen werden. Wir empfehlen dringend, die eigenen Windows-Systeme abzusichern“. Microsoft bietet unter http://www.microsoft.com/technet/security/advisory/2286198.mspx Hilfestellung an. Ein Patch zur Schließung der Sicherheitslücke wird in Kürze erwartet.

Alle ESET-Lösungen erkennen und beseitigen Win32/Stuxnet zuverlässig.

Weitere Informationen erhalten Sie im ESET-Blog unter http://blog.eset.com/2010/07/17/windows-shellshocked-or-why-win32stuxnet-sux.

< Zurück   Weiter >