DuQu in neuer Variante aufgetaucht

Martin Schindler,

Offenbar ist die hochentwickelte Spionage-Software DuQu nach wie vor in Gebrauch. Denn Sicherheitsforschern ist jetzt eine neue Variante ins Netz gegangen.

Sicherheitsexperten von Symantec werten die neu entdeckte Variante von DuQu als klares Zeichen dafür, dass die Angriffe mit dem Spionage-Trojaner weitergehen.

Der jüngste DuQu-Treiber soll laut Untersuchungen von Symantec erst im Februar 2012 kompiliert worden sein. Als Motivation für die neue Version vermutet der Sicherheitsexperte Costin Raiu von Kaspersky Labs, dass die Hacker versuchen, einen eigens von CrySys entwickelten Open-Source-Detektor zu umgehen.

Symantec identifiziert die neue Version als mcd9x86.sys. Allerdings, so die Sicherheitsforscher enthalte der Code keine neuen Funktionen.

Für Symantec ist mit dieser neuen Variante klar, dass DuQu noch aktiv ist und nach wie vor Angriffe über diese Spionage-Software laufen. Quelle: Symantec
Für Symantec ist mit dieser neuen Variante klar, dass DuQu noch aktiv ist und nach wie vor Angriffe über diese Spionage-Software laufen. Quelle: Symantec

Rund vier Monate zuvor war DuQu erstmals als eigenständige Malware bezeichnet worden, die “auffällige Ähnlichkeiten” mit Stuxnet aufweist – jenem Wurm, der Nuklearanlagen im Iran angegriffen hatte.

Kaspersky hat erst vor wenigen Tagen aus dem Code von DuQu herausgelesen, dass die Schöpfer dieses Programms seit langen Jahren im Geschäft sein müssen. Die Hacker verwendeten unter anderem die relativ selten genutzte Sprache OO C, wie Sicherheitsforscher Igor Soumenkov in einem Blog erläutert. Die Abkürzung steht für Object Oriented C und ist eine etwas in Vergessenheit geratene angepasste Erweiterung der Sprache C. Erst nach aufwändiger Recherche sei es Soumenkov gelungen, die Ursprungssprache und den Compiler zu identifizieren.

[Mit Material von Anita Klinger, ZDNet.de]