20.08.2012
Sicherheit
Gratis-Tools identifizieren Gauss-Trojaner
Autor: Thorsten Eggeling
Der jüngst identifizierte Staattrojaner Gauss treibt bereits seit knapp einem Jahr sein Unwesen und verbreitet sich rasant. Inzwischen gibt es Gratis-Tools, die den Schädling indirekt auf privaten Rechnern nachweisen.
Wie com-magazin.de berichtete, hat Kaspersky Lab erst kürzlich den auf Cyber-Spionage spezialisierten Trojaner Gauss entdeckt. Da er wie seine Vorgänger Stuxnet, Duqu und Flame offenbar nur gezielt eingesetzt wurde, blieb er fast ein Jahr lang von Antivirenscannern unentdeckt. Experten gehen aufgrund der Ähnlichkeit zu dem gefürchteten Supertrojaner Flame davon aus, dass es sich dabei ebenfalls um einen staatlich entwickelten Trojaner handelt. Im immer noch unbestätigten aber bereits erhärteten Verdacht stehen die USA und Israel.
Auffällig ist, dass der Trojaner auf befallenen Rechnern einen bisher unbekannten Font namens Palida Narrow installiert. Bei dieser Schriftart handelt es sich um einen untypischen Serifen-Font mit normaler Breite, der vorgibt, von Microsoft zu stammen.
Warum Gauss diese Schriftart installiert, ist bisher noch ein Rätsel. Manche Sicherheitsexperten vermuten, dass Palida Narrow unter bestimmten Bedingungen eine eigene Schadfunktion ausführt. Beispielsweise könnten Kerning-Befehle bei der Anzeige einer bestimmten Textfolge Auslöser dafür sein. Allerdings konnte Kaspersky auch nach eingehender Analyse bisher nichts Verdächtiges an der Schriftart entdecken. Möglich wäre auch, dass Palida Narrow eine bisher unbekannte Sicherheitslücke in Microsoft Word ausnutzt.
Es gibt auch Spekulationen darüber, dass die Entwickler von Gauss den Font als eine Art "Marker" verwenden, um infizierte Rechner zu identifizieren. Hier setzen die Forscher des Kryptografie-Labors der TU Budapest (CrySys) an. Sie haben eine Webseite entwickelt, die beim Besuch aus der Ferne erkennt, ob auf dem Rechner Palida Narrow installiert ist. Da die Schriftart in unmittelbaren Zusammenhang zu Gauss steht, können Nutzer auf diese Weise eine Infektion herausfinden.
Kaspersky hat diesen Test noch vereinfacht, und verwendet auf der Seite //www.securelist.com/en/blog/724/Online_Detection_of_Gauss:Online detection of Gauss Javascript zur Identifizierung der Schriftart. Schlägt einer der Online-Tests Alarm, sollten Nutzer ihren Rechner mit einer Antiviren-Software gründlich untersuchen. Dazu eignet sich beispielsweise das kostenlose Kaspersky Virus Removal Tool. Aber auch wenn der Scan die Schriftart nicht findet, sollten Nutzer vorsichtshalber einen Antiviren-Scan durchführen. Da sich der Trojaner inzwischen auch in Deutschland verbreitet, ist eine Überprüfung auch hier sinnvoll.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>