Flame: Supervirus löscht sich selbst

Dies meldet die IT-Security-Firma Symantec. Deren Virenjäger haben den Befehl auf einem mit dem Flame-Virus infizierten und als Lockvogel verwendeten Computer abgefangen.

Demnach geben die Urheber des Virus diesem derzeit die Order aus, Selbstmord zu begehen, beziehungsweise sich «komplett von den befallenen Computern zu entfernen», wie Symantec schreibt. Dabei habe der Befehl jede Flame-Datei auf dem infizierten PC lokalisiert, diese entfernt und sodann die entsprechenden Speicherpassagen mit Blindtext überschrieben, um künftige forensische Untersuchungen zu erschweren.
«Flame versucht, keine Spuren zurückzulassen», heisst es in dem Symantec-Blog. Eine Analyse des Befehls habe zudem ergeben, dass dieser im Mai geschrieben wurde.

Gleichzeitig zeigen Untersuchungen zur Funktionsweise der Flame-Malware, wie ausgefeilt diese ist. So verwendet sie laut Verschlüsselungsexperten eine sehr spezielle kryptografische Technik namens «Prefix Collison Attack». Deren Sinn und Zweck ist es, falsche digitale Passierscheine zu erstellen, mit denen sich die Malware ungehindert ausbreiten kann. Die Funktionsweise einer solchen Attacke wurde zwar 2008 demonstriert, die Flame-Programmierer haben sich aber einer ausgefuchsten Variante dieser Methode bedient. «Für das Design dieser neuen Variante sind erstklassige Kenntnisse in der Kryptoanalyse notwendig», urteilt Marc Stevens vom Centrum Wiskunde & Informatica (CWI) in Amsterdam.
Die Erkenntnisse unterstützen frühere Vermutungen, wonach Flame von einer staatlichen Organisation stammen muss und nicht das Werk von herkömmlichen Cyberkriminellen sein kann. Der Aufwand an Zeit und Ressourcen, der in die Erstellung von Flame gesteckt wurde, sei für letztere Urhebergruppe viel zu hoch, heisst es. Allerdings ist nach wie vor im Dunkeln, welcher Staat hinter Flame steckt.