Vor etwas weniger als zwei Wochen hat der Chaos Computer Club (CCC) den sogenannten “Bundestrojaner” in die Finger bekommen und genauer untersucht. Dabei hat es sich um eine ca. drei Jahre alte Version gehandelt, die von der Firma Digitask erstellt wurde. Unter anderem war der Trojaner nur unter 32-Bit-Systemen lauffähig und relativ leicht zu erkennen. Gestern hat das russische Softwareunternehmen Kaspersky eine neue Version des Bundestrojaners entdeckt.
Die neue Version ist deutlich aktueller und wurde ebenfalls von Digitask programmiert. Größte Neuerung ist, dass auch 64-Bit-Windowssysteme unterstützt werden. Gleichzeitig werden mehr Programme überwacht. Neben Skype werden auch Browser, Instant Messenger und VoIP-Programme ausgespäht. Nachfolgend eine vollständige Liste aller überwachten Applikationen:
- explorer.exe
- firefox.exe
- icqlite.exe
- lowratevoip.exe
- msnmsgr.exe
- opera.exe
- paltalk.exe
- simplite-icq-aim.exe
- simppro.exe
- sipgatexlite.exe
- skype.exe
- skypepm.exe
- voipbuster.exe
- x-lite.exe
- yahoomessenger.exe
Der Trojaner besteht insgesamt aus 5 Dateien. Außerdem wurde ein signierter 64-Bit-Treiber entdeckt, dessen Zertifikat von “Goose Cert” ausgestellt wurde. Unter einem 64-Bit-Windows ist eine gültige Signatur Voraussetzung, dass ein Treiber geladen werden kann. Da ein normales Windows das gefälschte Zertifikat aber nicht akzeptieren würde, liegt die Vermutung nahe, dass der Trojaner den Zertifikatsspeicher von Windows manipuliert hat. Die genaue Vorgehensweise ist bisher nicht bekannt.
Mit dieser Information wird aber auch klar, dass eine Antiviren-Software oder Firewall keinen ausreichenden Schutz vor dem Bundestrojaner bieten. Denn wenn der Zertifikatsspeicher von Windows manipuliert werden kann, ist das Umgehen bzw. Ausschalten von AV-Software oder einer Firewall prinzipiell auch kein Problem.
Quelle: Securelist
Neueste Kommentare
23. April 2024
19. April 2024
17. April 2024
17. April 2024
5. April 2024
23. März 2024