Verbesserte Version des Bundestrojaners entdeckt

Erst vor kurzem hatte ich beschrieben, wie man den Bundestrojaner erkennen kann. Mittlerweile ist klar, dass es sich bei der vom Chaos Computer Club (CCC) untersuchte Version des “Bundestrojaners” um eine 3 Jahre alte Software gehandelt hat. Außerdem war die Software nur unter 32-Bit-Systemen lauffähig.

Der Virenspezialist Kaspersky hat nun eine neue Version des “Bundestrojaners” entdeckt. Die neue Version stammt ebenfalls von Digitask und unterstützt auch 64-Bit-Windowssysteme. Zugleich kann sie deutlich mehr Programme ausspähen. Unter anderem können Skype, ICQ, Firefox und Opera überwacht werden. Die vollständige Liste lautet:

  • explorer.exe
  • firefox.exe
  • icqlite.exe
  • lowratevoip.exe
  • msnmsgr.exe
  • opera.exe
  • paltalk.exe
  • simplite-icq-aim.exe
  • simppro.exe
  • sipgatexlite.exe
  • skype.exe
  • skypepm.exe
  • voipbuster.exe
  • x-lite.exe
  • yahoomessenger.exe

Die neue Version des “Bundestrojaners” besteht aus insgesamt 5 Dateien. Darunter befindet sich wie bei der ersten Version die Datei “mfc42ul.dll”, welche unter “C:\windows\system32″ liegt. Darüber hinaus konnte man einen signierten 64-Bit-Treiber entdecken. Das Zertifikat stammt von der fiktiven Firma “Goose Cert”. Unter einem 64-Bit-Windows ist eine Signatur Voraussetzung dafür, dass der Treiber geladen werden kann. Allerdings akzeptiert Windows kein gefälschtes Zertifikat. Daher liegt nahe, dass der neue Trojaner den Zertifikatsspeicher von Windows manipuliert. Wie dies genau geschieht, ist bisher nicht bekannt.

Die weiterentwickelte Version des “Bundestrojaners” ist deutlich gefährlicher als die vom CCC untersuchte Version. Wer den Zertifikatsspeicher von Windows manipulieren kann, sollte auch in der Lage sein, unerkannt von Firewalls und Antiviren-Software zu operieren und diese sogar auszuschalten.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

6 Antworten

  1. thomas_ sagt:

    vllt. ist es auch ein offizielles/gültiges zertifikat von ms

    mfg thomas

    • Tobi sagt:

      Das wäre ja noch schöner! Das Zertifikat stammt von der fiktiven Firma “Goose Cert” und ist auf den 11. April 2010 datiert. Habs auch im Text ergänzt.

  2. Daniel sagt:

    Hier ist eine kurze Anleitung wie man unter Win7 seine Zertifikate sehen kann. Da müsste es dann doch eig. auftauchen oder?

    http://windows.microsoft.com/de-DE/windows-vista/View-or-manage-your-certificates

  3. Honk sagt:

    ist diese datei “mfc42ul.dll” nun eine für windows systemrelevante datei, oder existiert diese nur mit dem bundestrojaner?

  4. Honk sagt:

    vielen dank für die schnelle antwort.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert