Kaspersky analysiert zweite Staatstrojaner-Version

[Annika_Kremer]

Die Sicherheitsforscher des Unternehmens Kaspersky Labs berichten, sie hätten eine zweite Variante des vom Chaos Computer Club (CCC) analysieren "Staatstrojaners" identifiziert. Diese funktioniert - im Gegensatz zum vom CCC analysierten "Bayerntrojaner" - auch auf 64-Bit-Windows-Systemen. Auch sonst scheint sie mehr - und durchaus fragwürdige - Features zu umfassen als die bisher bekannte Version.

zur News

[schnuerstiefel]

Dann ist es doch so das jemand das Installationsprogramm zum Virenscheck ins Internet geladen hat und die Profis in Sachen Viren haben die Datei gespeichert.
Nur F-Secure hat sie genauer untersucht. Kapersky ist jetzt der Held im Erdbeerfeld und unsere Innenminister haben ein Problem mehr.
Denn dieses Programm reist mit dem falschen Zertifikat eine Loch im System und außerdem ist es ein Verstoß gegen noch andere Gesetze weil Daten verändert werden. Irgendwie habe ich so ein Hackergesetz in Erinnerung.
Die CSU mausert sich so richtig zu einem Schnüffelhaufen.
0zapftis

[bigtuerke1]

langsam aber sicher sollten wir es wie die Türken in der Türkei machen, wie damals 2002 rum., und alle TOP-Parteien in die Wüste schicken.

[IIWhiteHatII]

Dass diese Variante des Trojaners mehr kann, als die 32bit Version ist nicht ganz richtig. Der CCC hat hier wohl nicht ganz genau nachgesehen. Alleine die referenzierten Strings geben schon mehr Informationen preis, was die Funktionen und die entsprechend überwachten Prozesse betrifft.

Hier ein Auszug, welcher von Sicherheit-Online bereits vor Tagen schon veröffentlicht wurde:
http://pastebin.com/dAe15u6S

Demnach gibt es Funktionen die unter Anderen auch folgende betreffen:

Skype
Firefox
Explorer
Internet Explorer
Yahoo
Yahoo Messenger
X-Lite
Sipgate
AVG
Netscape
MSN
Seamonkey
usw...

Wir haben vor, uns das Ganze auch mal ganz genau anzusehen. Vielleicht kommt dann noch ein wenig Mehr raus.

[Hafti1]

[...] und unsere Innenminister haben ein Problem mehr.

Was für Probleme. Die werden das wie gewöhnlich runterspielen, und Konsequenzen wird das wahrscheinlich auch für Niemanden haben.

[Spinebreaker]

[DrDuke]

Spielt doch gar keine Rolle was für Prozesse genau überwacht werden

Screencapture, und Keylogger Funktion zusammen mit einem guten dropper(der die Software aktuell hält) genügt vollkommen um alles aufzuzeichnen!

Ok, eine Implementierung von Mic, und Cam ist sicherlich noch etwas interessanter, aber dann wäre wirklich das ganze Spanner Kontingent ausgekostet...

Mit einem Guten Screencapture, braucht man den Firefox Prozess z.b. ja nicht nochmals auslesen, da man sowieso alles bereits als Screenshots bekommt...

[Metalheim]

Spielt doch gar keine Rolle was für Prozesse genau überwacht werden

Screencapture, und Keylogger Funktion zusammen mit einem guten dropper(der die Software aktuell hält) genügt vollkommen um alles aufzuzeichnen!

Ok, eine Implementierung von Mic, und Cam ist sicherlich noch etwas interessanter, aber dann wäre wirklich das ganze Spanner Kontingent ausgekostet...

Mit einem Guten Screencapture, braucht man den Firefox Prozess z.b. ja nicht nochmals auslesen, da man sowieso alles bereits als Screenshots bekommt...

Naja, aber wenn ich mir überlege, was der Upload von Screencaps an Traffic verbraucht...
Bei einer langsamen Leitung wäre das schon sehr auffällig.

Außerdem lassen sich die Informationen besser im Vorfeld filtern und gezielter auswerten lassen.

[-Baxter-]

... wie dieser Tage schon 'mal angemerkt:

"You're the diamond dropper of the neighborhood"



Ich für meinen Teil könnte mir übrigens ganz gut vorstellen, daß noch 'n paar mehr Dinge ans Tageslicht gelangen werden...

In diesem Sinne, Baxter
_________________________________
-= Old School =-

----------------------------------------

Am Rande...

Wer war und ist eigentlich (in Wahrheit) die treibende Kraft, wenn es um die Themen "VDS", "Netzsperren", "Three Strikes" u.s.w. geht?

Spoiler: 

Genau: Die sogenannte Content-MAFIA bzw. deren Verbände!

1. Musikindustrie --> BVMI e.V. (ehemals IFPI Deutschland)! Beispielquelle:

Was der Verband gegen Raubkopien tut
[...]
Die proMedia Gesellschaft zum Schutz geistigen Eigentums mbH ermittelt in Fällen von Urheberrechtsverletzungen und führt diese in Zusammenarbeit mit den staatlichen Behörden der Strafverfolgung zu.

--> bdk.de (Bund Deutscher Kriminalbeamter) schrieb im Jahre 2008 folgendes:

Der BDK wird sich darüber hinaus dafür stark machen, dass die Ermittler im HSK die notwendige Unterstützung erhalten, um Kriminalität unter Nutzung des Internets oder anderer moderner Kommunikations- und Computertechnologie wirksam bekämpfen zu können.
Einen Einblick in die Komplexität derartiger Ermittlungsverfahren ermöglichte Jörg von der Fecht (proMedia - Gesellschaft zum Schutz geistigen Eigentums mbH, Hamburg) [...]

2. Filmbranche --> GVU e.V. ! Beispielquelle:

Erfolgreicher Zugriff von Staatsanwaltschaft und Polizei gegen Ersteinsteller in BitTorrent Netzwerke
[...]
Zu diesem Zwecke beobachtet die GVU in Zusammenarbeit mit der Firma P4M - Die Internetagenten diese Netzwerke

"P4M - Die Internetagenten" heißen heute "OpSec Security GmbH"!
--> Microsoft veröffentlichte auf ihrer website 2009 folgende Pressemitteilung (Quelle)

Online-Piraten auf der Spur
[...]
Die auf Markenschutz spezialisierte Firma OpSec Security und Microsoft arbeiten intensiv zusammen, um die zunehmende illegale Verbreitung von gefälschter Software über Auktionsseiten zu bekämpfen. Mithilfe einer speziell entwickelten Technologie durchsuchen die Experten von OpSec Security für Microsoft verschiedene Online-Handels-Plattformen.

3. E-Books 'n stuff --> Boersenverein e.V.! (Beispielquelle):

Immer mehr Hörbücher in Tauschbörsen

"Downloaden bis der Arzt kommt" - dafür stehen Tauschbörsen wie Bittorrent.de. Kinofilme stehen an der Spitze, doch immer beliebter wird auch das Herunterladen kleinvolumiger Dateien wie Hörbücher und eBooks.
[...]
Der anhaltende Boom der Internt-Tauschbörsen zeigt sich in einer Studie des Leipziger Netzwerkdienstleisters Ipoque.

---> Weitere Beispielquelle: Abmahnwahn und Ipoque

4. Ipoque und Digitask auf Klinken-Putzen-Tournee! Beispielquelle:

Track 1: ISS for Lawful Interception

This track is for Telecom Operators and Law Enforcement/Intelligence/Defense Analysts who are responsible for specifying or developing lawful intercept network infrastructure.
[...]
16:30-17:00
High-Performance LI with Deep Packet Inspection on Commodity Hardware
Lawful interception at multi-gigabit speeds has long been the domain of expensive dedicated hardware systems. This presentation will show how a high-performance deep packet inspection engine in off the shelf hardware can not only achieve the necessary performance, but also provide detailed statistics on the encountered traffic based on layer-7 classification. These statistics and log data are particularly useful for encrypted protocols such as Skype and BitTorrent which are usually beyond the scope of LI systems.
Klaus Mochalski, CEO, ipoque

LI = Lawful Interception = TKÜ!

----------------------------------------

Tjaaaaaa..... Bald ist es so weit! Dann wird aus der von vielen belächelten "Verschwörungstheorie" von vor c.a. 5 Jahren die reine Wahrheit! Wetten?

---------------------------------------------------------

[Azrael_GoD]

Update:

Nach Angaben der Sicherheitsexperten des Projekts "Sicherheit Online" ist die Überwachung der genannten großen Anzahl von Diensten kein einzigartiges Feature der nun analysierten Staatstrojaner-Version. Sicherheit Online ist vielmehr der Ansicht, dass auch die vom CCC analysierte Variante über dieses Feature verfügt und dies vom CCC bislang nicht umfassend dokumentiert wurde. Die Sicherheitsanalysten erwägen daher, eine eigene Untersuchung des vom CCC analysierten Trojaners durchzuführen. Zu diesem Zweck hatte die Hacker-Vereinigung die kompletten Binaries des fraglichen Trojaners ins Netz gestellt.

zur News

Häää??? noch mal verständlich bitte. irgendwie widerspricht sich das doch oder?
Also die Version die "Sicherheit Online" Analysiert hat, kann kein icq, skype, etc. überwachen. Aber die vom CCC Analysierte Version kann das auch …

Also kann sie das nicht oder was soll ich nun daraus lesen? Ich bin verwirrt….
evtl. kann mir das je mal jemand in verständlichern Worten erklären …

[Lugyacci]

Häää??? noch mal verständlich bitte. irgendwie widerspricht sich das doch oder?
Also die Version die "Sicherheit Online" Analysiert hat, kann kein icq, skype, etc. überwachen. Aber die vom CCC Analysierte Version kann das auch …

Also kann sie das nicht oder was soll ich nun daraus lesen? Ich bin verwirrt….
evtl. kann mir das je mal jemand in verständlichern Worten erklären …

Okay, also es ist eigentlich unmissverständlich ausgedrückt, vielleicht hast du nur etwas zu schnell gelesen :P
Die Version von Sicherheit Online kann SEHR WOHL Icq, skype, etc, was die vom CCC ja angeblich nicht konnte, und nun glauben die (von Sicherheit Online), dass möglicherweise die Version vom CCC das eben doch auch konnte und es die Leute vom CCC nur nicht gemerkt haben

[user124]

kann SEHR WOHL Icq, skype, etc, was die vom CCC ja angeblich nicht konnte, und nun glauben die (von Sicherheit Online), dass möglicherweise die Version vom CCC das eben doch auch konnte und es die Leute vom CCC nur nicht gemerkt haben

der ccc hat schon früh gesagt das sie sich bei der analyse nicht auf voip funktionalität konzentriert haben, sondern zuerst funktionen suchten die *offensichtlich* illegal waren.

[enteKross]

Toll, dass Kaspersky es schon vorher erkannt hat
Wo kommt die zweite Version denn her? Auch von einem infizierten Rechner? Dann wäre das "Gerücht" ja aus der Welt, dass der Trojaner für jeden "Kunden" an die Lage und die gesetzlichen Vorgaben angepasst wird.

[Wizardman]

Jetzt nur mal so eine frage am rande, gibt es eigentlich mitlerweile einen schnelltest ob man sowas drauf hat?? Ich weiss nicht ob mein toller MS virenschoner darauf anspringen würde. Nicht dass ich jetzt wirklich vermute, dass man mich auspionieren würde. Aber es wäre zumindest für die zukunft angenehm ein wenig sicherheit zu haben.

Allgemein wäre mal interessant zu wissen, wie man effektiv trojaner erkennen kann. Virenschoner sind ja nun mal wirklich ein witz, hijackthis ist zu umständlich und man kann ja auch nicht den ganzen tag mit wireshark oder sowas seinen traffic analysieren.

Gibt es auch schon informationen wie solche staatsschädlinge verbreitet werden? Über steuererklärungs CD's wär natürlich cool , ich denke der normale weg wird aber wohl eher emails mit falschem absender sein. Damit lassen sich sogar ausgewiesene sicherheitsexperten erwischen, wenn der mailinhalt geschickt genung gemacht ist. Ausserdem bliebe ja noch die ganz perverse möglichkeit, dass zeug vom provider aus direkt in den traffic einzubinden. Wer da nicht mit checksums arbeitet hat keine chance.

[enteKross]

@Wizardman: Steht doch da, dass Kaspersky es erkennt?
Womit man das auch in Zukunft erkennen können wird, kann dir jetzt eh noch keiner sagen

[Lord_Sedios]

Quelle: Heise Online
"Darüber hinaus haben die Experten einen signierten 64-Bit-Treiber entdeckt, dessen Zertifikat vom fiktiven Herausgeber Goose Cert ausgestellt wurde. Eine Signatur ist Voraussetzung dafür, dass ein 64-Bit-Windows den Treiber lädt. Allerdings akzeptiert ein normales Windows das gefälschte Zertifikat nicht, so dass bei der Installation eigentlich auch der Zertifikatsspeicher von Windows manipuliert werden müsste. Wie dies geschieht, ist bislang unklar. Aber es wird immer klarer, dass Antiviren-Software keinen Schutz vor einem solchen Staatstrojaner bieten kann. Denn wer den Zertifikatsspeicher manipuliert, kann auch eventuell aufmüpfige AV-Software zum Schweigen bringen."

1. Mich würde interessieren was Microsoft davon hält das da ein Programm herkommt das möglicherweise in Lage ist am Zertifikatspeicher rumzupfuschen. Microsoft gilt ja als knallhart wenn es darum geht wenn jemand in ihrem System ohne Erlaubnis rummacht.

2. Hat sich noch keiner gefragt, da das Programm ja so super im Umlauf ist, ob nicht schon die ersten Virenprogrammierer das Programm nutzen um es für ihre kriminellen Zwecke zu nutzen. Ich mein ein Programmierer muß ja nicht mehr viel tuen DigiTask hat ja schon super vor gearbeitet.

Man kann also davon ausgehen das das Internet möglichweise in Zukunft wieder mit einer Flut neuer Virenversionen überschwemmt wird hoch spitze gemacht.

Schön wenn man gezielt etwas bekämpfen will aber dann mit dem Breitschwert zuschlägt

[Wizardman]

@Wizardman: Steht doch da, dass Kaspersky es erkennt?

Kaspersky ist aber kein schnelltest und gehört für mich ebenfalls zur kategorie malware. Ausserdem ist das ding wohl kostenpflichtig oder so.

[enteKross]

Kaspersky ist aber kein schnelltest und gehört für mich ebenfalls zur kategorie malware. Ausserdem ist das ding wohl kostenpflichtig oder so.

Kaspersky hat eine Firewall und ist ein Antivieren-Programm ja.. Und es kostet Geld.. Na dann lad dir doch AntiVir und seh wo du bleibst

[wsdf3et32]

Kaspersky ist aber kein schnelltest und gehört für mich ebenfalls zur kategorie malware. Ausserdem ist das ding wohl kostenpflichtig oder so.

Wenn du ein 32Bit System hast dann lade dir das hier:

http://www.chip.de/downloads/Stegano..._52144253.html

Das ist kostenlos und entfernt den Trojaner sogar noch.

Die HP vom Hersteller wo man das Tool downloaden kann ist derzeit nicht erreichbar - weiß einer warum? Überlastet wegen zu vielen downloads?

Für 64Bit Systeme soll wohl auch bald einer raus kommen. Zu dem Zeitpunkt als das Programm entwickelt wurde gab es noch keine Kenntnisse über einen 64Bit Trojaner...


Edit:
Hier gibt es doch schon eine 64Bit version:

http://www.my-archicrypt.de/tutorial...version?c=2167

Download: http://download.globell.com/download...ll_V_1_3_3.zip

[MystiqueMax]

Ok. Also ich habe das Thema jetzt nicht so gründlich verfolgt wie ich es wohl hätte sollen, aber nur nochmal alles auf Anfang. Da war so ein Typ, dessen Laptop wurde mit dem Bundestrojaner infiziert, auf einer Flughafenkontrolle. Dessen Anwalt hat dann dessen Festplatte dem CCC überreicht, zur Analyse dieses Trojaners.

Woher wusste die Überhaupt, dass da jetzt der Trojaner drauf ist? Kam in der Taskleiste die Meldung "Bundestrojaner succesfully loaded"? Dachte Trojaner sollten sich verstecken.

Dann wie sind sie überhaupt darauf gekommen, dass dieser Trojaner der Bundestrojaner ist und nicht irgend ein anderer Trojaner aus dem Web. Der Trojaner hatte wohl nicht seinen eigenen Copyright-Text dabei, indem Stand ©Bundesregierung. Also wie sind die überhaupt auf die Idee gekommen, es war am Flughafen? Nicht im Internet? Die werden kaum ruhig neben dem Beamten gestanden haben, während der noch erklärte: "Ich werde nun ihren Computer mit dem Bundestrojaner infizieren, bitte halten sie still."

Okay, diverse Ministerien haben nun den Einsatz des Trojaners zugegeben, aber auf welchen Druck? Wieso war man sich eigentlich so sicher?

Und gibt es eigentlich schon Informationen ob es noch weitere Versionen des Trojaners gibt für andere OS gibt? Ich meine, im Gegensatz zu Bot-Netz-Betreibern muss die Regierung sich doch auch um OSX und Linux scherren, oder?