Sicherheit
Gratis-Tools identifizieren Gauss-Trojaner
von
Thorsten
Eggeling - 20.08.2012
Der jüngst identifizierte Staattrojaner Gauss treibt bereits seit knapp einem Jahr sein Unwesen und verbreitet sich rasant. Inzwischen gibt es Gratis-Tools, die den Schädling indirekt auf privaten Rechnern nachweisen.
Wie com-magazin.de berichtete, hat Kaspersky Lab erst kürzlich den auf Cyber-Spionage spezialisierten Trojaner Gauss entdeckt. Da er wie seine Vorgänger Stuxnet, Duqu und Flame offenbar nur gezielt eingesetzt wurde, blieb er fast ein Jahr lang von Antivirenscannern unentdeckt. Experten gehen aufgrund der Ähnlichkeit zu dem gefürchteten Supertrojaner Flame davon aus, dass es sich dabei ebenfalls um einen staatlich entwickelten Trojaner handelt. Im immer noch unbestätigten aber bereits erhärteten Verdacht stehen die USA und Israel.
Auffällig ist, dass der Trojaner auf befallenen Rechnern einen bisher unbekannten Font namens Palida Narrow installiert. Bei dieser Schriftart handelt es sich um einen untypischen Serifen-Font mit normaler Breite, der vorgibt, von Microsoft zu stammen.
Warum Gauss diese Schriftart installiert, ist bisher noch ein Rätsel. Manche Sicherheitsexperten vermuten, dass Palida Narrow unter bestimmten Bedingungen eine eigene Schadfunktion ausführt. Beispielsweise könnten Kerning-Befehle bei der Anzeige einer bestimmten Textfolge Auslöser dafür sein. Allerdings konnte Kaspersky auch nach eingehender Analyse bisher nichts Verdächtiges an der Schriftart entdecken. Möglich wäre auch, dass Palida Narrow eine bisher unbekannte Sicherheitslücke in Microsoft Word ausnutzt.
Es gibt auch Spekulationen darüber, dass die Entwickler von Gauss den Font als eine Art "Marker" verwenden, um infizierte Rechner zu identifizieren. Hier setzen die Forscher des Kryptografie-Labors der TU Budapest (CrySys) an. Sie haben eine Webseite entwickelt, die beim Besuch aus der Ferne erkennt, ob auf dem Rechner Palida Narrow installiert ist. Da die Schriftart in unmittelbaren Zusammenhang zu Gauss steht, können Nutzer auf diese Weise eine Infektion herausfinden.
Kaspersky hat diesen Test noch vereinfacht, und verwendet auf der Seite //www.securelist.com/en/blog/724/Online_Detection_of_Gauss:Online detection of Gauss Javascript zur Identifizierung der Schriftart. Schlägt einer der Online-Tests Alarm, sollten Nutzer ihren Rechner mit einer Antiviren-Software gründlich untersuchen. Dazu eignet sich beispielsweise das kostenlose Kaspersky Virus Removal Tool. Aber auch wenn der Scan die Schriftart nicht findet, sollten Nutzer vorsichtshalber einen Antiviren-Scan durchführen. Da sich der Trojaner inzwischen auch in Deutschland verbreitet, ist eine Überprüfung auch hier sinnvoll.
