Stuxnet sorgte im September vergangenen Jahres für Aufsehen, als er genutzt wurde, um das iranische Atomprogramm auszuspionieren. Wie sein hochgefährlicher „Vater“ bedient sich Rootkit.Duqu.A einem gestohlenen, digitalen Zertifikat, das eigentlich nicht mehr gültig ist. Das Zertifikat ermöglicht ihm, sich selbst auf windowsbasierenden 32- und 64-bit-Versionen der Betriebssysteme von Windows XP bis hin zu Windows 7 zu installieren. Duqu verbleibt 36 Tage auf dem Computer und sammelt in dieser Zeit alle möglichen Informationen, die über die Tastatur eingegeben wurden. Dies beinhaltet auch Passwörter, E-Mails, IM-Konversationen und vieles mehr.

Nach dieser Phase der Überwachung entfernt sich der Virus samt den Keylogger-Komponenten selbstständig vom System. Bis dahin ermöglicht es die spezielle Rootkit-Technologie dem Schadcode, sich sowohl vor den Usern als auch vor dem Abwehrmechanismus des Betriebssystems sowie einfachen Virenschutzlösungen zu verstecken.

Rootkit-Viren sind sehr schwer zu erkennen, da sie es schaffen, das Betriebssystem zu kontaminieren, bevor es vollständig geladen ist. Vom manuellen Entfernen wird dringend abgeraten. Unter www.duquremoval.com/de.html stellt Bitdefender eine kurze Anleitung zur Verfügung, wie Duqu von einem infizierten Rechner entfernt werden kann.

Quelle: Bitdefender GmbH