News: Madi betrügt mit Moses
Kürzlich wurde der Trojaner "Flame" enttarnt, der wohl speziell Rechner im Nahen Osten ausspionierte. Nachdem Flame aufgeflogen war, schickten die Entwickler des Trojaners ihm einen "Selbstmordbefehl" um Spuren zu verwischen. Das Verwischen ist aber wohl nur begrenzt geglückt beziehungsweise war sinnlos.
Unter anderem laut Bericht des Spiegel haben sich erste Hinweise im Programmcode inzwischen bestätigt, dass die USA und Israel Flame gebastelt haben.
Wie bereits zuvor ein Trojaner namens "Stuxnet", spähte auch Flame vor allem Rechner im Iran detailliert aus. Jetzt wurde erneut ein Trojaner entdeckt, der es auf Rechner im Nahen Osten abgesehen hat. Ziele des "Madi" getauften Schädlings sind der aktuellen Sachlage nach Iran und Israel. Details zu Madi wurden jüngst im Securelist-Blog veröffentlicht.
Die Sicherheitsexperten verfolgen die Angriffe bereits seit einem Jahr, erst jetzt wurden sie "Madi" getauft. Interessant für Madi sind anscheinend vor allem die PCs von Regierung, Banken und Universitäten. Derlei Rechner werden von Madi besonders intensiv überwacht, andere Rechner nutzt Madi nur zu seiner Verbreitung.
Zur Verbreitung haben die Schöpfer von Madi Emails mit "verseuchten" Powerpoint .pps-Dateien verschickt. Und haben ihre Zielgruppe unter anderem wohl mit "religiösen Präsentationen" gelockt. Die Präsentation “Moses_pic1.pps ist beispielsweise eine Dia-Show, bei der die Betrachter aufgefordert werden, nach "Moses" zu suchen.
Neben .pps haben sich die Madi-Macher auch der üblichen billigen Tricks bedient, mit denen ausführbare Dateien als harmlose Email-Beigaben wie ".jpg"-Bilder getarnt werden. Ein Trick basiert darauf, dass Zeichen bei Dateinamen mit Unicode-Zeichensatz anders als mit ANSI-Zeichensatz dargestellt werden. Was dann in der Mail "bild.jpg" heißt, kann tatsächlich "bild.scr", ein ausführbarer Script sein.
Bekannt ist inzwischen, dass Madi quasi ein Alleskönner ist. Der Trojaner kann beliebige Dateien "absaugen", Mails lesen, Bildschirmfotos knipsen, Tastatureingaben protokollieren und dergleichen. Die Hersteller von Virenschutz-Software berichten (zwecks Eigenwerbung) natürlich wie immer alle von Madi (Trojan.Win32.Madi) und teilen mit, dass ihre Software den Trojaner inzwischen erkennt.
Unbekannt ist, woher Madi stammt. Eine Analyse des Trojaners hat allerdings ergeben, dass sich im Programmcode auffällig viele persisch bezeichnete Strings finden, der Programmierer also entsprechende Sprachkenntnisse hat. Der persische Text im Code kann natürlich auch ein billiger Trick sein um vor der wahren Herkunft abzulenken.
mi~we
Michael Nickles
