Forscher haben eine modifizierte Variante des Anonymisierungs-Tools Simurgh entdeckt. Statt die Identität der Anwender zu verschleiern, können Dritte nun sämtliche Daten auf infizierten Rechnern ausspionieren.
Das Windows-Tool Simurgh wurde entwickelt, um staatlicher Zensur zu entgehen und so Anwendern beispielsweise im Iran und Syrien freien Zugang zum Internet zu ermöglichen. Das Programm leitet Anfragen von Internet-Nutzern auf ausländische Server (Proxy-Server) um, so dass die Identität des Webnutzers verschleiert wird. Die Software selbst ist gerade mal ein Megabyte groß, und kann so auch über einen USB-Stick in einem Internetcafé eingesetzt werden kann.
Forscher der Universität Toronto
berichten nun von der Entdeckung einer modifizierten Version dieser Software. Sie enthält einen Trojaner, der Passwörter und Benutzernamen ausspioniert. Es verbreitet sich nicht über die
offizielle Website des Anonymisierungs-Tools, sondern über andere Download-Seiten.
Bei der Installation der Simurgh-Variante werden Systemdateien ausgetauscht, unter anderem auch die Datei Lsass.exe. Damit haben die Angreifer dann einen dauerhaften Zugang zum Rechner und können Benutzernamen und Passwörter unter anderem auch von E-Mail- und Online-Diensten auslesen. Der Schädling protokolliert sämtliche Aktionen, die auf einem infizierten Rechner durchgeführt werden. Die so erbeuteten Daten werden dann in einer HTML-Datei an einen Server gesendet, der in den USA steht aber in Saudi Arabien registriert ist.
Morgan Marquis-Boire, technischer Berater an der University of Toronto und Sicherheitsingenieur bei Google, empfiehlt nun Betroffenen, den Schädling mit Antivirenprogrammen zu beseitigen und sämtliche Passwörter zu ändern. Ein Indiz für eine Infektion können plötzlich fehlende Systemtöne sein. Der Trojaner löscht offenbar die Datei „Windows XP Start.wav“. Diese WAV-Datei ist der Standard-Sound etwa bei Klicks im Windows-Explorer. Diese Maßnahme soll offenbar die Tätigkeiten des Trojaners verschleiern.
Laut
Sophos haben sich auch die Entwickler von Simurgh mit dem Schädling auseinandergesetzt und eine Möglichkeit gefunden, Nutzer infizierter Rechner zu warnen. Das Original-Programm und auch die Fälschung öffnen beide nach dem Start eine Webseite, die zu Kontrolle die öffentliche IP-Adresse anzeigt. Benutzer der gefälschten Version erhalten hier eine Warnmeldung.
Marquis-Boire und Sophos sehen durch die Schadsoftware eine besondere Gefahr für staatlich Verfolgte, da über den Schädling genau die Beweise und Daten ausgeliefert werden können, die Simurgh eigentlich vertuschen soll. Die Experten empfehlen deshalb, nur Software aus vertrauenswürdigen und möglichst bekannten Quellen herunterzuladen.