Laut einem
Bericht des Budapester Laboratory of Cryptography and System Security (CrySyS) bestätigt Microsoft, die Verbreitung des
Duqu-Trojaners über eine bisher unbekannte Lücke im Windows-Kernel. CrySyS entdeckte die Windows-Lücke bei einer Analyse des Installations-Programms für den Trojaner. Demnach infiziert die Schadsoftware die Systeme der Opfer durch manipulierte Word-Dateien. Die wiederum schleusen den Schadcode durch eine Lücke im Windows-Kernel in das System ein. Microsoft teilt über
Twitter mit, dass an einem Update zur Behebung der Sicherheitslücke gearbeitet wird.
Wie der Antivirenhersteller Symantec
berichtet, wurde Duqu darauf programmiert, sich über Netzwerkfreigaben zu verteilen. Dadurch können auch PCs infiziert werden, die selbst keinen Internetzugang haben. Die Netzwerkinfrastruktur wird dann genutzt, um über Computer mit Internetzugang mit dem Kontrollserver des Bots zu kommunizieren.
Unternehmen in Frankreich, Niederlande, Indien, Iran, Sudan, Schweiz, Ukraine und Vietnam sind laut Symantec höchstwahrscheinlich betroffen. Andere Sicherheitsfirmen vermuten die Infektion mit Duqu in Österreich, Großbritannien und Indonesien. Deutschland ist nach derzeitigem Kenntnisstand bisher nicht betroffen. Es besteht
Meldepflicht beim Bundesamt für Sicherheit in der Informationstechnik (
BSI).
Nach Meinung von Symantec sind Duqu und Stuxnet miteinander verwandt. Diese Behauptung stellen jetzt die Sicherheitsexperten von Dells SecureWorks Counter Threat Unit (CTU)
infrage. Zwar ähneln sich die Rootkit-Methoden, aber in den eigentlichen Nutzerdaten sind keine Hinweise auf eine Verwandtschaft gefunden worden.
[
Update 04.11] Microsoft hat inzwischen ein
Fix-it-Tool veröffentlicht, mit dem sich die Sicherheitslücke schließen lässt. Außerdem gibt es auch im
Microsoft Security Advisory (2639658) eine Anleitung, wie sich das Problem manuell beheben lässt. Dabei kann es allerdings Nebenwirkungen geben. Programme, die Fonts über T2EMBED.DLL einbetten, stellen die Schriften dann möglicherweise nicht mehr korrekt dar.