IT-Security
Stuxnet-Infektionen aufspüren und beseitigen
Ein kostenloses forensisches Tool hilft, Infektionen mit dem Computerschädling Stuxnet rechtzeitig aufzuspüren und Gegenmaßnahmen einzuleiten. Um den Wurm aufzuspüren, tarnt es sich selbst als Schädling, der infizierte Nachrichten versendet.
Der Sabotage-Wurm Stuxnet (siehe: So gefährlich ist Stuxnet wirklich) hat auch in dieser Woche wieder Furore gemacht. Die Hinweise verdichten sich, dass der Schädling darauf angesetzt sein könnte die iranischen Atomanlagen zu sabotieren. Doch das bleibt ebenso Spekulation wie Mutmaßungen über die Herkunft von Stuxnet. Die meisten Unternehmen sind jedenfalls nicht Ziel des Schädlings, haben jedoch zum Teil noch immer mit infizierten Rechnern zu kämpfen.
Um Administratoren das Aufspüren und beseitigen mit Stuxnet infizierter Rechner zu erleichtern, hat der Antivirushersteller Trend Micro einen kostenlos erhältlichen Stuxnet-Scanner entwickelt. Der Hersteller bezeichnet ihn als forensisches Tool, womit üblicherweise Werkzeuge zur Spurensicherung gemeint sind.
Der Stuxnet-Scanner von Trend Micro soll hingegen auf infizierten Rechner schlummernde Stuxnet-Komponenten aus der Reserve locken. Er sendet künstliche Datenpakete ins Netz, die einen Stuxnet-Rechner imitieren. Client- und Server-Module von Stuxnet kommunizieren über RPC-Aufrufe miteinander. Der Scanner listet die IP-Adressen aller Rechner auf, die ihm antworten (Wirkweise des Tools siehe Screenshot; Quelle: Trend Micro). Es unterstützt die IT-Sicherheitsteams ferner bei der Beseitigung der Infektionen.
Stuxnet ist im Juli bekannt geworden, als auf spezielle Weise infizierte USB-Sticks entdeckt wurden. Der Schädling hat sich als recht komplex erwiesen, doch soviel war bald klar: er sucht nach bestimmten Rechnern, die zur Steuerung von Industrieanlagen dienen, und soll diese sabotieren.
Kürzlich hat Symantec verkündet, man habe die Anlagenteile identifiziert, nach denen Stuxnet sucht. Demnach handelt es sich um eher selten verwendete Frequenzumrichter, mit denen die Drehzahl von Motoren gesteuert wird. Bauteile des fraglichen Typs werden auch in Anlagen zur Anreicherung von Uran verwendet. Daher wird spekuliert, dass iranische Atomanlagen Ziel des Schädlings sein könnten.
Lesen Sie mehr zum Thema
