Neue Version des Bundestrojaners

Erweiterte Funktionen und unter 64-Bit-Windows lauffähig

Vor etwas weniger als zwei Wochen hat der Chaos Computer Club (CCC) den sogenannten „Bundestrojaner“ in die Finger bekommen und genauer untersucht. Dabei hat es sich um eine ca. drei Jahre alte Version gehandelt, die von der Firma Digitask erstellt wurde. Unter anderem war der Trojaner nur unter 32-Bit-Systemen lauffähig und relativ leicht zu erkennen. Gestern hat das russische Softwareunternehmen Kaspersky eine neue Version des Bundestrojaners entdeckt.

Anzeige

Die neue Version ist deutlich aktueller und wurde ebenfalls von Digitask programmiert. Größte Neuerung ist, dass auch 64-Bit-Windowssysteme unterstützt werden. Gleichzeitig werden mehr Programme überwacht. Neben Skype werden auch Browser, Instant Messenger und VoIP-Programme ausgespäht. Nachfolgend eine vollständige Liste aller überwachten Applikationen:

  • explorer.exe
  • firefox.exe
  • icqlite.exe
  • lowratevoip.exe
  • msnmsgr.exe
  • opera.exe
  • paltalk.exe
  • simplite-icq-aim.exe
  • simppro.exe
  • sipgatexlite.exe
  • skype.exe
  • skypepm.exe
  • voipbuster.exe
  • x-lite.exe
  • yahoomessenger.exe

Der Trojaner besteht insgesamt aus 5 Dateien. Außerdem wurde ein signierter 64-Bit-Treiber entdeckt, dessen Zertifikat von „Goose Cert“ ausgestellt wurde. Unter einem 64-Bit-Windows ist eine gültige Signatur Voraussetzung, dass ein Treiber geladen werden kann. Da ein normales Windows das gefälschte Zertifikat aber nicht akzeptieren würde, liegt die Vermutung nahe, dass der Trojaner den Zertifikatsspeicher von Windows manipuliert hat. Die genaue Vorgehensweise ist bisher nicht bekannt.

Mit dieser Information wird aber auch klar, dass eine Antiviren-Software oder Firewall keinen ausreichenden Schutz vor dem Bundestrojaner bieten. Denn wenn der Zertifikatsspeicher von Windows manipuliert werden kann, ist das Umgehen bzw. Ausschalten von AV-Software oder einer Firewall prinzipiell auch kein Problem.

Liste aller überwachten Prozesse

Quelle: Securelist

Tobias Rieder

Arbeitet seit September 2008 als freier Redakteur für Hartware.net. Nebenbei betreibt er seine beiden Blogs Antary und SSDblog.

Twitter / Facebook / Google+

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.