PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News
English

Staatstrojaner liest mit: Analyse von ESET deckt Vorgehen von FinFisher auf


Von ESET Deutschland

Die Malware wird unbemerkt durch direkten Zugriff auf ein System oder per infizierter Köderdatei installiert
Thumb

Jena/Bratislava, 15. Oktober 2014 - Der Security-Software-Hersteller ESET hat in seinen Virenlaboren Testdateien, sogenannte Malware-Samples, des Staatstrojaners FinFisher getestet. Vor einigen Wochen hat WikiLeaks Informationen, wie die FinFisher-Kundendaten, zu der Spionagesoftware veröffentlicht, welche scheinbar von Behörden und Regierungen verschiedener Länder eingesetzt wurde. Laut WikiLeaks ist ESET der einzige Antiviren-Hersteller, der FinFisher als Trojaner identifiziert hat. FinFisher ist auch unter FinSpy bekannt und wurde durch das deutsche Unternehmen FinFisher entwickelt.

Die Untersuchungen von ESET haben die Funktionen von FinFisher beleuchtet. Einmal auf dem Computer, sammelt die Malware Daten über ihre Opfer, zeichnet Audio- und Videodateien - beispielsweise von Skype - auf, durchsucht und löscht Dateien und führt Befehle aus. Die Samples, die ESET zur Untersuchung vorliegen, können zudem Tastenanschläge aufzeichnen, Audiomitschnitte vom Mikrofon und Videos vom Desktop oder der Webcam des Nutzers aufnehmen sowie bearbeitete, gelöschte oder an Drucker gesendete Dokumente stehlen. Darüber hinaus sammelt das Schadprogramm Informationen wie IP-Adresse, Computername, Nutzername, Windows-Version, Zeitzone, aktuelles Datum und aktuelle Zeit. Es handelt sich bei dieser Malware also um einen Bot, mit dem alles kontrolliert und gesammelt werden kann.

Unbemerkte Installation
Die Installation des Staatstrojaners erfolgt entweder durch direkten, physischen Zugriff auf ein System oder wird dem Anwender als Köderdatei in einer E-Mail zugestellt. Bei der letzteren Methode wird dem Opfer beispielsweise ein vermeintlich interessantes Bild geschickt - die Malware ist im Code der Datei getarnt und wird bei Öffnen des Bildes aktiviert. Einmal ausgeführt, überprüft die Malware, ob der Rechner des Opfers bereits infiziert ist und beginnt, Dienste zu starten und Treiber bereitzustellen, die den Zugriff durch Dritte auf die Geräte des Systems ermöglichen. Die Kommunikation läuft hierbei getarnt über den Internet Explorer.

Hinzu kommt, dass das Programm sein Verhalten ändern kann, wenn es eine Sicherheitssoftware erkennt, die versucht, die Ausführung von FinFisher zu stoppen oder zu blockieren. Außerdem kann sich die Malware mittels Befehl oder zuvor eingestelltem Zeitplan selbst löschen und so eine Entdeckung vermeiden.

Staatstrojaner und kriminelle Malware
Sogenannte Staatstrojaner und insbesondere FinFisher sind in ihren Funktionen modernen Schadprogrammen, die vor allem Privatpersonen angreifen, relativ ähnlich. Der Hauptunterschied liegt darin, dass der Code der Malware auf dem infizierten System nicht enttarnt, entpackt oder entschlüsselt wird. Da gewöhnlich gerade diese Vorgänge zu einer heuristischen Erkennung durch eine Antivirensoftware führen, wird bei dieser Malware konsequent auf die Tarnung verzichtet.

Bei normaler Malware wird der Code üblicherweise nicht "offen" ausgeliefert. Deren enorme Verbreitung würde nach kurzer Zeit bewirken, dass dieser Schadcode analysiert und dadurch zuverlässig von Antivirenprogrammen erkannt wird. Eine manuelle Modifikation durch den Malware-Entwickler wäre dann nötig. Da FinFisher aber nicht breit gestreut, sondern vermutlich gezielt eingesetzt wird, konnte bisher eine Analyse und Erkennung vermieden werden.

Trotz aller Bemühungen, Licht ins Dunkel dieser Malware zu bringen, sind die Erkennungsraten mancher Komponenten bei vielen anderen Antivirenprogrammen gering.

Weiterführende Informationen zu FinFisher und der Funktionsweise der Malware finden Sie unter: http://www.welivesecurity.com/deutsch/2014/10/15/wikileaks-samples-zum-finfisher-staatstrojaner-bringen-aufklarung-per-schnellanalyse/

Folgen Sie ESET:
http://www.welivesecurity.de/
https://twitter.com/ESET_de
https://www.facebook.com/ESET.Deutschland


Kommentare

Bewerten Sie diesen Artikel
Bewertung dieser Pressemitteilung 5 Bewertung dieser Pressemitteilung 1 Bewertung bisher (Durchschnitt: 3)
Hinweis Für den Inhalt der Pressemitteilung ist der Einsteller, Herr Michael Klatte (Tel.: +49 3641 3114 257), verantwortlich.

Pressemitteilungstext: 513 Wörter, 4217 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.

Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!