VG-Wort Pixel

Neue Malware "Vigilante": Der Batman unter den Trojanern macht heimlich Jagd auf Raubkopierer

Der neuartige Schädling schadet eigentlich nur bestimmten Gruppen (Symbolbild)
Der neuartige Schädling schadet eigentlich nur bestimmten Gruppen (Symbolbild)
© gorodenkoff / Getty Images
Normalerweise versucht Schadsoftware, von ihren Opfern zu profitieren. Eine nun entdeckte Variante geriert sich dagegen als heimlicher Kämpfer gegen das Unrecht und macht Raubkopierern das Leben schwer.

Trojaner und andere Malware haben sich in den letzten Jahren hochgradig professionalisiert. Mit immer neuen Methoden erpressen sie ihre Opfer, jubeln ihnen unerwünschte Werbung unter oder stehlen persönlichste Daten. Eine jetzt entdeckte Variante ist da fast erfrischend: Im Stile des dunklen Rächers Batman nimmt sie sich nur vermeintliche Übeltäter vor. Und hält sie sogar von weiteren Taten ab.

Das entdeckte der beim Antiviren-Anbieter Sophos angestellte Experte Andrew Brandt. "Es ist wirklich ungewöhnlich, so etwas zu entdecken. Normalerweise gibt es nur ein Motiv hinter Malware: Dinge zu stehlen", erklärt er bei Twitter seine Überraschung über den neuen Schädling. "Ob es um das Mitschneiden von Passwörtern oder Tastatureingaben geht, um Cookies, intellektuelles Eigentum, Zugänge oder sogar die CPU, um Kryptowährungen zu minen, - das Motiv ist immer Diebstahl", erläutert Brandt. "Aber nicht in diesem Fall." Die beobachtete Software würde nur einige wenige Vorgänge starten, ""von denen keiner zu den typischen Motiven einer Malware passt", wundert sich der Experte.

Was steckt hinter "Vigilante"?

Dabei setzt die beobachtete Software durchaus auf bekannte Muster: Sie wartet versteckt in auf Raubkopien-Seiten angebotenen, geknackten Versionen von Spielen oder Programmen, beobachtet wurde sie etwa als angebliche Version der Antiviren-Software Malware Bytes. Werden die Programme heruntergeladen und die Installationsdatei gestartet, installiert sich auch der Schädling heimlich im Hintergrund. Einmal auf dem Rechner überträgt er den Namen der genutzten Installations-Datei und die IP-Adresse an den Betreiber der Software. Ganz so, wie es viele der bösartigen Verwandten auch tun. Am weiteren Vorgehen sieht man dann aber, dass es dem Betreiber um etwas anders zu gehen scheint.

Statt die Daten des Nutzers zu stehlen oder ihn mit verschlüsselten Dateien zu erpressen, verändert die Datei nur die sogenannte Host-Datei - und sperrt auf diese Weise den Browser-Zugriff zu Dutzenden beliebten Raubkopien-Seiten wie Pirate Bay. Dazu leitet sie vereinfacht gesagt sämtliche Anfragen an diese Seiten auf die lokale Adresse um. Das richtet keinen echten Schaden an, macht den Besuch der Seite aber unmöglich.

Dem Verhalten entsprechend hat Brandt das Programm "Vigilante" getauft. Der Begriff bezeichnet Personen, die das Recht in die eigene Hand nehmen - und wird in der amerikanischen Pop-Kultur auch immer wieder für die sich über das Recht stellenden Comic-Helden wie Batman oder Spider-Man benutzt. 

USA: Autofahrer bekommen plötzlich Porno zu sehen – Unbekannte hacken Werbetafel

Kein echter Schaden

Was genau hinter der Aktion steckt, ist bislang noch nicht bekannt. Zwar ist es denkbar, dass der Betreiber die Daten als Beweismittel nutzt, um Abmahnungen an die Besitzer der infizierten Rechner zu schicken. Ein entsprechender Fall ist bislang aber nicht öffentlich geworden. Weitere Folgen müssen die Opfer des Vigilantes bisher nicht fürchten: Nach einem Neustart ist das Programm wieder verschwunden, nur die veränderte Hostdatei bleibt. Sophos bietet trotzdem ein Tool an, mit dem man den eigenen Rechner bei Verdacht auf einen Befall mit dem Programm testen kann. 

Dass Brandt dem Betreiber der Software trotz des harmlosen Vorgehens und des augenscheinlich ehrbaren Motivs wenig abgewinnen kann, liegt an einem anderen Detail. Der Entwickler hatte einen Teil des Programmcodes mit sinnlosem Text befüllt. Und sich dabei für eine über 1000-malige Wiederholung eines rassistischen Schimpfwortes entschieden. "Ein Archiv mit sinnlosem Text zu füllen, kann dazu dienen, die echte Dateigröße zu vertuschen", erläutert Brandt. "Dabei aber rassistische Beleidigungen zu benutzen, sagt mir alles, was ich über den Entwickler wissen muss."

Quelle: Sophos, Twitter


Mehr zum Thema


Wissenscommunity


Newsticker