Spionagewurm "Morcut" befällt Mac, Windows und Smartphones
22. August 2012, 10:07
·
Das JAR-File gibt vor, von VeriSign zu kommen, ist aber eine
Spionagesoftware mit ausgeklügelten Funktionen
·
Das als JAR-File getarnte System schleust sich auch in Virtuelle
Maschinen und externe Datenträger ein
Ein neuer Spionagewurm namens "Crisis" bzw. "Morcut", der im Juli von
Doctor Web entdeckt wurde, versteckt sich auf dem System befallener
Rechner und kann User ausspionieren. Die volle Funktionalität unter
Windows wurde allerdings jetzt erst bekannt. Anfällig für den Wurm sind
Windows und Mac OS X. Der Name "Crisis" ist im Code der Malware
enthalten, wird in der IT-Security jedoch "Morcut" genannt, um dem
Entwickler keinen Tribut zu zollen. Vermutet wird, dass das Progamm nur
für gezielte Angriffe vorgesehen ist und nicht für eine weite
Verbreitung vorgesehen ist. Namhafte Sicherheitsunternehmen wie
Kaspersky oder Symantec haben den Wurm in freier Wildbahn noch nicht
verzeichnen können. Gestoßen ist man auf den Wurm erst, als er zur
Überprüfung bei VirustTotal hochgeladen wurde, wie Heise berichtet.
AdobeFlashPlayer.jar
Infiltriert wird ein System durch ein JAR-File, das durch Social
Engineering auf den Rechner gelangt. Konkret gibt das JAR-File vor, ein
AdobeFlashPlayer.jar-File zu sein und von VeriSign zu kommen. Das File
enthält ausführbare Dateien für Mac OS als auch Windows. Securelist
listet alle Komponenten des Systems auf, das aus einem Installer,
Rootkits, Spyware und Autorun-Files besteht. Je nach Rechten des Users
auf dem Computer führt die Malware unterschiedliche Funktionen aus.
Spionage persönlicher Inhalte
Auf Mac OS X können dadurch beispielsweise Informationen aus dem
Adressbuch, Kalenderdaten, Gespräche, Screenshots und sogar Bilder von
der Webcam in fremde Hände gelangen. Wie NakedSecurity schreibt, ist
"Morcut" noch nicht sehr verbreitet, eine Antiviren-Software wird
dennoch empfohlen.
Einschleusen in Virtuelle Maschinen
Unter Windows hat Morcut laut Symantec noch ein paar weitere Funktionen
auf Lager: Die Malware kann sich in Virtuelle Maschinen von VMware
einschleusen, Module auf einem Windows Mobile Device ablegen und
installieren und sich selbst auf einen externe Datenträger kopieren.
(red, derStandard.at, 22.8.2012)
Links:
Doctor Web
Naked Security
Securelist
Symantec
VirusTotal