Bereits seit Ende Juli warnt der russische Antivirenhersteller
Dr. Web vor einem neu entdeckten Trojaner mit dem Namen
BackDoor.DaVinci.1 - inzwischen auch als
Crisis oder
Morcut bekannt. Der Trojaner kann sowohl Windows als auch Mac OS X infizieren. Dabei richtet er ein Rootkit ein und spioniert den PC aus. Er kann beispielsweise Tastaturanschläge protokollieren (Keylogger), Screenshots anfertigen, E-Mails abfangen, ICQ- und Skype-Daten mitlesen und Kamera sowie Mikrofon des PCs nutzen.
Der Trojaner tarnt sich als “AdobeFlashPlayer und verbreitet sich durch Social Engineering. Zur Übertragung verwendet er die Java-Datei AdobeFlashPlayer.jar, die ein selbst signiertes VeriSign-Zertifikat ausweist. Wird die Datei ausgeführt und die Fehlermeldung bezüglich des fälschlich signierten Zertifikats ignoriert, wird je nach System eine Payload für Windows oder Mac OS X ausgeführt. Nutzer, die kein Java installiert haben, brauchen Crisis/Morcut also nicht zu fürchten.
Der Antivirenhersteller Symantec hat inzwischen noch
weitere Funktionen des Trojaners entdeckt. So soll Crisis auf Windows-Geräten gezielt nach
VMware-Images suchen und diese dann mit Kopien von sich selbst infizieren. Dazu benutzt er keine Schwachstellen in VMware, sondern manipuliert direkt die Dateien der virtuellen Festplatten. Zudem installiert er offenbar Module auf Windows Mobile-Geräten. Der Zweck dahinter ist allerdings noch nicht geklärt, da die Module noch nicht im Virenlabor von Symantec aufgetaucht sind.
Offenbar wird der Schädling zurzeit nur ganz gezielt eingesetzt, denn er ist noch von keinem Antivirenhersteller in "freier Wildbahn" entdeckt worden. Die infizierten Dateien wurden bisher nur bei
VirusTotal hochgeladen und von dort aus an die Virenlabore zur Analyse weitergeleitet.
Dr. Web vermutet, dass es sich bei Crisis um das
Remote Control System "Da Vinci" der italienischen Firma HackingTeam handelt. Die Herstellerfirma bezeichnet das Produkt als "Hacking-Suite für staatliche Überwachungen". Das Unternehmen wirbt in seiner
Produktbroschüre (PDF-Datei) unter anderem damit, dass Skype-Telefonate abgehört werden können. Auch der jeweilige Standort soll sich darüber ausfindig machen lassen. "Da Vinci" kann nicht nur Windows- und Mac OS X-Systeme ausspionieren, sondern auch iOS, Android, Blackberry, Symbian und Linux.