Staatstrojaner 2.0 - Neue Funktionen und 64 Bit

  • Tillmann Werner und Stefan Ortloff von Kaspersky Lab haben eine neue Variante des Staatstrojaners untersucht, die nun auch 64-Bit-Varianten von Windows infizieren kann. Zudem greift der Trojaner nicht nur Skype, sondern auch diverse Messenger-Programme und Internetbrowser an.

    Wie die Sicherheitsexperten berichten, enthält der Dropper fünf weitere Binärdateien, so dass es sich insgesamt um sechs Komponenten handelt.
    Neben Skype werden von der neuen Variante auch die Internetbrowser Firefox und Opera sowie die Kommunikationsprogramme ICQ, der MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster und der Yahoo! Messenger infiziert.
    Insgesamt greift der Trojaner die folgenden 15 Programmdateien an:

    explorer.exe
    firefox.exe
    icqlite.exe
    lowratevoip.exe
    msnmsgr.exe
    opera.exe
    paltalk.exe
    simplite-icq-aim.exe
    simppro.exe
    sipgatexlite.exe
    skype.exe
    skypepm.exe
    voipbuster.exe
    x-lite.exe
    yahoomessenger.exe

    Der Schadcode wird über den Dropper selbst, über zwei User-Mode-Komponenten und über einen 32-Bit-Kernel-Treiber eingebracht.
    Im Gegensatz zur Vorgängerversion startet dieser Treiber einen Thread, der ständig die laufenden Prozesse überwacht und eine DLL in mögliche Angriffsziele injiziert.
    Die DLL-Injektion findet entweder direkt beim Erstellen eines neuen Prozesses statt (AppInit) oder es wird ein externer Thread in einem bereits laufenden Prozess erzeugt, der auf eines der User-Mode-Module (mfc42ul.dll) verweist.

    Während der vom Chaos Computer Club (CCC) untersuchte Trojaner auf 32-Bit-Versionen von Windows beschränkt war, kann die neue Variante auch 64-Bit-Systeme angreifen.
    Der dazu verwendete Treiber ist signiert, doch den angeblichen Herausgeber "Goose Cert" gibt es gar nicht.
    Wie die Spionagesoftware das Betriebssystem dazu bringt, das falsche Zertifikat zu akzeptieren, ist bisher noch ungeklärt.
    Im Gegensatz zur 32-Bit-Version kann der 64-Bit-Treiber keine Prozesse infizieren, er legt jedoch ein neues Gerät an und implementiert ein einfaches Protokoll, um mit User-Mode-Applikationen zu kommunizieren.

    Kasperskys Virenschutz erkennt alle Komponenten des neuen Trojaners als "R2D2 trojan/rootkit".
    Der Dropper selbst wurde schon zuvor von der Heuristik entdeckt und blockiert.


    Quelle

  • Ihr könnt davon ausgehen, dass es in wenigen Wochen (wenn nicht Tagen) neue Varianten in Erscheinung treten. Die Behörden werden sicherlich am wenigesten damit zu tun haben. Vielmehr werden jetzt vermehrt Malwareschreiber ihre "Prachtstücke" präsentieren.

  • Bissel das Feuer schür , Virenschutz-Hersteller-half-beim-Bundestrojaner :stick: Klick

    Ja ich weis...Bild. Aber schon interessant wie sich alles entwickelt :lol:

    Gruss C64

    Hinter jeder Ecke lauern viele Richtungen.

  • Der CCC wird mit Sicherheit eine Liste bekannt geben. Mal schauen wer dann noch diese und diese AV Software verwendet.

  • Zitat von Steffen

    Der CCC wird mit Sicherheit eine Liste bekannt geben. Mal schauen wer dann noch diese und diese AV Software verwendet.


    Liste ? glaub ich nicht... der Hersteller könnt nix mehr verkaufen. Falls doch Names bekannt werden... iss klar würde sofort fliegen.

    Gruss C64 ( am basteln mit Eset iss :) )

    Hinter jeder Ecke lauern viele Richtungen.

  • Könnte mir gut vorstellen das so eine Liste auch **zugespielt wird** Ein verärgerter Mitarbeiter unsw.... warten wir einfach mal ab.

  • Ich habe da eine Frage an euch.

    Wie genau oder ungefähr wird dieser "Schädling" eingeschleust ?Und woher wissen die,die diesen "Schädling" steuern wo dieser hin muß auf welche Pc/Notebook ?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!