Tillmann Werner und Stefan Ortloff von Kaspersky Lab haben eine neue Variante des Staatstrojaners untersucht, die nun auch 64-Bit-Varianten von Windows infizieren kann. Zudem greift der Trojaner nicht nur Skype, sondern auch diverse Messenger-Programme und Internetbrowser an.
Wie die Sicherheitsexperten berichten, enthält der Dropper fünf weitere Binärdateien, so dass es sich insgesamt um sechs Komponenten handelt.
Neben Skype werden von der neuen Variante auch die Internetbrowser Firefox und Opera sowie die Kommunikationsprogramme ICQ, der MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster und der Yahoo! Messenger infiziert.
Insgesamt greift der Trojaner die folgenden 15 Programmdateien an:
explorer.exe
firefox.exe
icqlite.exe
lowratevoip.exe
msnmsgr.exe
opera.exe
paltalk.exe
simplite-icq-aim.exe
simppro.exe
sipgatexlite.exe
skype.exe
skypepm.exe
voipbuster.exe
x-lite.exe
yahoomessenger.exe
Der Schadcode wird über den Dropper selbst, über zwei User-Mode-Komponenten und über einen 32-Bit-Kernel-Treiber eingebracht.
Im Gegensatz zur Vorgängerversion startet dieser Treiber einen Thread, der ständig die laufenden Prozesse überwacht und eine DLL in mögliche Angriffsziele injiziert.
Die DLL-Injektion findet entweder direkt beim Erstellen eines neuen Prozesses statt (AppInit) oder es wird ein externer Thread in einem bereits laufenden Prozess erzeugt, der auf eines der User-Mode-Module (mfc42ul.dll) verweist.
Während der vom Chaos Computer Club (CCC) untersuchte Trojaner auf 32-Bit-Versionen von Windows beschränkt war, kann die neue Variante auch 64-Bit-Systeme angreifen.
Der dazu verwendete Treiber ist signiert, doch den angeblichen Herausgeber "Goose Cert" gibt es gar nicht.
Wie die Spionagesoftware das Betriebssystem dazu bringt, das falsche Zertifikat zu akzeptieren, ist bisher noch ungeklärt.
Im Gegensatz zur 32-Bit-Version kann der 64-Bit-Treiber keine Prozesse infizieren, er legt jedoch ein neues Gerät an und implementiert ein einfaches Protokoll, um mit User-Mode-Applikationen zu kommunizieren.
Kasperskys Virenschutz erkennt alle Komponenten des neuen Trojaners als "R2D2 trojan/rootkit".
Der Dropper selbst wurde schon zuvor von der Heuristik entdeckt und blockiert.
Quelle