Verbesserte Version des Bundestrojaners entdeckt

Erst vor kurzem hatte ich beschrieben, wie man den Bundestrojaner erkennen kann. Mittlerweile ist klar, dass es sich bei der vom Chaos Computer Club (CCC) untersuchte Version des “Bundestrojaners” um eine 3 Jahre alte Software gehandelt hat. Außerdem war die Software nur unter 32-Bit-Systemen lauffähig.

Der Virenspezialist Kaspersky hat nun eine neue Version des “Bundestrojaners” entdeckt. Die neue Version stammt ebenfalls von Digitask und unterstützt auch 64-Bit-Windowssysteme. Zugleich kann sie deutlich mehr Programme ausspähen. Unter anderem können Skype, ICQ, Firefox und Opera überwacht werden. Die vollständige Liste lautet:

• explorer.exe
• firefox.exe
• icqlite.exe
• lowratevoip.exe
• msnmsgr.exe
• opera.exe
• paltalk.exe
• simplite-icq-aim.exe
• simppro.exe
• sipgatexlite.exe
• skype.exe
• skypepm.exe
• voipbuster.exe
• x-lite.exe
• yahoomessenger.exe

Die neue Version des “Bundestrojaners” besteht aus insgesamt 5 Dateien. Darunter befindet sich wie bei der ersten Version die Datei “mfc42ul.dll”, welche unter “C:\windows\system32″ liegt. Darüber hinaus konnte man einen signierten 64-Bit-Treiber entdecken. Das Zertifikat stammt von der fiktiven Firma “Goose Cert”. Unter einem 64-Bit-Windows ist eine Signatur Voraussetzung dafür, dass der Treiber geladen werden kann. Allerdings akzeptiert Windows kein gefälschtes Zertifikat. Daher liegt nahe, dass der neue Trojaner den Zertifikatsspeicher von Windows manipuliert. Wie dies genau geschieht, ist bisher nicht bekannt.

Die weiterentwickelte Version des “Bundestrojaners” ist deutlich gefährlicher als die vom CCC untersuchte Version. Wer den Zertifikatsspeicher von Windows manipulieren kann, sollte auch in der Lage sein, unerkannt von Firewalls und Antiviren-Software zu operieren und diese sogar auszuschalten.