Sicherheit
Kaspersky-Analysten entdecken weiteren Staatstrojaner
Neue Runde beim Thema Staatstrojaner: Die Kaspersky-Analysten Tillmann Werner und Stefan Ortloff konnten eine weitere Malware analysieren, die noch mehr Funktionen bietet, als die vom Chaos Computer Club analysierte Fassung. (Andreas Link, 19.10.2011)
Kaspersky-Analysten entdecken weiteren Staatstrojaner [Quelle: siehe Bildergalerie]
Nachdem am 11. Oktober 2011 die Analysten von F-Secure über eine eventuelle Installationskomponente des vom Chaos Computer Club entdeckten Backdoor-Trojaners schrieben, konnten die Kaspersky-Analysten Tillmann Werner und Stefan Ortloff mit Hilfe des von F-Secure überlassenen Materials diesen so genannten Dropper genauer analysieren. Sie sprechen vom "großen Bruder" des bekannten Backdoor-Trojaners, denn die entschlüsselte Datei enthält sechs Komponenten, die jeweils verschiedene Aufgaben erfüllen. Dabei kann der Trojaner nicht nur unter 32-Bit-Versionen von Windows aktiv werden, sondern auch auf 64-Bit-Versionen.
Und nicht nur Skype steht im Visier der Malware, wie Tillmann Werner bestätigt: "Die von uns analysierte Version zeigt, dass es die Software neben Skype auch auf Web-Browser, verschiedene Instant Messenger und VoIP-Software wie ICQ, MSN Messenger, VoipBuster und Yahoo! Messenger abgesehen hat."
Die Liste der überwachten Programme ist lang. Der als Installationsprogramm scuinst.exe (Skype Capture Unit Installer) getarnte Trojaner überwacht die folgenden Anwendungen:
- explorer.exe
- firefox.exe
- icqlite.exe
- lowratevoip.exe
- msnmsgr.exe
- opera.exe
- paltalk.exe
- simplite-icq-aim.exe
- simppro.exe
- sipgatexlite.exe
- skype.exe
- skypepm.exe
- voipbuster.exe
- x-lite.exe
- yahoomessenger.exe
Alle Komponenten des Backdoor Trojaners wurden als Rootkit vom Typ R2D2 identifiziert. Die Malware wird von den Kaspersky-Programmen erkannt und blockiert. Dabei gehen die Entwickler von Digitask clever vor: Der 64-Bit-Treiber ist über den fiktiven Herausgeber Goose Cert zertifiziert. Ohne Signatur würde Windows 64 den Treiber erst gar nicht laden. Offenbar manipulieren die Entwickler des Trojaners auch den Zertifikatsspeicher von Windows. Wie dabei vorgegangen wird, ist noch unklar. Es scheint aber festzustehen, dass auch Antivirensoftware nicht immer Schutz bieten kann, denn nach Ansicht von Experten können die Entwickler solcher Trojaner auch AV-Programme austricksen, wenn es ihnen schon gelingt die Windows-Zertifizierung auszutricksen.