Sicherheit
Crisis-Trojaner infiziert auch VMware-Images
von
Thorsten
Eggeling - 22.08.2012
Der Trojaner Crisis befällt Windows und Mac OS X. Er fängt Tastatureingaben ab und hört Skype-Gespräche mit. Symantec hat jetzt entdeckt, dass er sich auch in virtuelle PCs einnisten kann, die mit VMware erstellt wurden.
Bereits seit Ende Juli warnt der russische Antivirenhersteller Dr. Web vor einem neu entdeckten Trojaner mit dem Namen BackDoor.DaVinci.1 - inzwischen auch als Crisis oder Morcut bekannt. Der Trojaner kann sowohl Windows als auch Mac OS X infizieren. Dabei richtet er ein Rootkit ein und spioniert den PC aus. Er kann beispielsweise Tastaturanschläge protokollieren (Keylogger), Screenshots anfertigen, E-Mails abfangen, ICQ- und Skype-Daten mitlesen und Kamera sowie Mikrofon des PCs nutzen.
Der Trojaner tarnt sich als “AdobeFlashPlayer und verbreitet sich durch Social Engineering. Zur Übertragung verwendet er die Java-Datei AdobeFlashPlayer.jar, die ein selbst signiertes VeriSign-Zertifikat ausweist. Wird die Datei ausgeführt und die Fehlermeldung bezüglich des fälschlich signierten Zertifikats ignoriert, wird je nach System eine Payload für Windows oder Mac OS X ausgeführt. Nutzer, die kein Java installiert haben, brauchen Crisis/Morcut also nicht zu fürchten.
Der Antivirenhersteller Symantec hat inzwischen noch weitere Funktionen des Trojaners entdeckt. So soll Crisis auf Windows-Geräten gezielt nach VMware-Images suchen und diese dann mit Kopien von sich selbst infizieren. Dazu benutzt er keine Schwachstellen in VMware, sondern manipuliert direkt die Dateien der virtuellen Festplatten. Zudem installiert er offenbar Module auf Windows Mobile-Geräten. Der Zweck dahinter ist allerdings noch nicht geklärt, da die Module noch nicht im Virenlabor von Symantec aufgetaucht sind.
Offenbar wird der Schädling zurzeit nur ganz gezielt eingesetzt, denn er ist noch von keinem Antivirenhersteller in "freier Wildbahn" entdeckt worden. Die infizierten Dateien wurden bisher nur bei VirusTotal hochgeladen und von dort aus an die Virenlabore zur Analyse weitergeleitet.
Dr. Web vermutet, dass es sich bei Crisis um das Remote Control System "Da Vinci" der italienischen Firma HackingTeam handelt. Die Herstellerfirma bezeichnet das Produkt als "Hacking-Suite für staatliche Überwachungen". Das Unternehmen wirbt in seiner Produktbroschüre (PDF-Datei) unter anderem damit, dass Skype-Telefonate abgehört werden können. Auch der jeweilige Standort soll sich darüber ausfindig machen lassen. "Da Vinci" kann nicht nur Windows- und Mac OS X-Systeme ausspionieren, sondern auch iOS, Android, Blackberry, Symbian und Linux.
