Staatstrojaner 2.0 - Neue Funktionen und 64 Bit

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34738
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Staatstrojaner 2.0 - Neue Funktionen und 64 Bit

Beitrag von doelf » 18 Okt 2011, 21:22

Tillmann Werner und Stefan Ortloff von Kaspersky Lab haben eine neue Variante des Staatstrojaners untersucht, die nun auch 64-Bit-Varianten von Windows infizieren kann. Zudem greift der Trojaner nicht nur Skype, sondern auch diverse Messenger-Programme und Internetbrowser an.

Wie die Sicherheitsexperten berichten, enthält der Dropper fünf weitere Binärdateien, so dass es sich insgesamt um sechs Komponenten handelt. Neben Skype werden von der neuen Variante auch die Internetbrowser Firefox und Opera sowie die Kommunikationsprogramme ICQ, der MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster und der Yahoo! Messenger infiziert. Insgesamt greift der Trojaner die folgenden 15 Programmdateien an:
  • explorer.exe
    firefox.exe
    icqlite.exe
    lowratevoip.exe
    msnmsgr.exe
    opera.exe
    paltalk.exe
    simplite-icq-aim.exe
    simppro.exe
    sipgatexlite.exe
    skype.exe
    skypepm.exe
    voipbuster.exe
    x-lite.exe
    yahoomessenger.exe
Der Schadcode wird über den Dropper selbst, über zwei User-Mode-Komponenten und über einen 32-Bit-Kernel-Treiber eingebracht. Im Gegensatz zur Vorgängerversion startet dieser Treiber einen Thread, der ständig die laufenden Prozesse überwacht und eine DLL in mögliche Angriffsziele injiziert. Die DLL-Injektion findet entweder direkt beim Erstellen eines neuen Prozesses statt (AppInit) oder es wird ein externer Thread in einem bereits laufenden Prozess erzeugt, der auf eines der User-Mode-Module (mfc42ul.dll) verweist.

Während der vom Chaos Computer Club (CCC) untersuchte Trojaner auf 32-Bit-Versionen von Windows beschränkt war, kann die neue Variante auch 64-Bit-Systeme angreifen. Der dazu verwendete Treiber ist signiert, doch den angeblichen Herausgeber "Goose Cert" gibt es gar nicht. Wie die Spionagesoftware das Betriebssystem dazu bringt, das falsche Zertifikat zu akzeptieren, ist bisher noch ungeklärt. Im Gegensatz zur 32-Bit-Version kann der 64-Bit-Treiber keine Prozesse infizieren, er legt jedoch ein neues Gerät an und implementiert ein einfaches Protokoll, um mit User-Mode-Applikationen zu kommunizieren.

Kasperskys Virenschutz erkennt alle Komponenten des neuen Trojaners als "R2D2 trojan/rootkit". Der Dropper selbst wurde schon zuvor von der Heuristik entdeckt und blockiert.

Quelle:
http://www.securelist.com/en/blog/20819 ... ig_Brother

wigor666

Re: Staatstrojaner 2.0 - Neue Funktionen und 64 Bit

Beitrag von wigor666 » 19 Okt 2011, 03:06

Hallou,

um Mr. Anderson zu zitieren: Ah... Upgrades. :wink:

Nee, mal im Ernst, können eigentlich User, die das Dingen entfernen, nicht verkanackt werden? Soweit ich das sehe, wird der Trojaner ja von Mannen des BND verschleudert, also einer staatlichen Vollstreckungsbehörde, wie die Polente auch. Ist das entfernen somit nicht nach § 113/114 StGB wiederstand genen Vollstreckungsbeamte oder denen gleichgestellte Personen? und Buden wie Kaspersky, fordern ja auch noch dazu auf, indem diese das Dingen, oder Teile davon, in die Erkennung aufnehmen und es entfernen oder dem User sagen, "hir, mach ma weg". Das liefe dann ja unter §111 StGB Öffentliche Aufforderung zu Straftaten.

... und da simma wieder, 1984,LIVE!!!

Zwar n bisi spät, aber Orwell hatte also doch recht, nur das da wenigstens die Terminals und die Standleitung vom Staat gestellt wurden. Hir darf man für seine Überwachung ja auch noch selber aufkommen. Dolle Wurscht, das is doch mal Effizient. Ich hab`s immer gesagt, Mutti und der Breitbandausbau, spätestens jetzt, dürft auch der letzte Depp kapieren, wozu das.

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34738
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Staatstrojaner 2.0 - Neue Funktionen und 64 Bit

Beitrag von doelf » 19 Okt 2011, 07:17

Was ohne mein Wissen installiert wird, kann ich entfernen, denn ich kann nicht wissen, woher es stammt und warum es da ist.
Allerdings sollte man den Trojaner lieber installiert lassen, ihn isolieren und mit Schwachsinn füttern.
Wurde der Schwachsinn so präpariert, dass das Wissen über denselben nur illegal erlangt werden kann, wird das ein lustiger Prozess!

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8652
Registriert: 17 Feb 2004, 07:12

Re: Staatstrojaner 2.0 - Neue Funktionen und 64 Bit

Beitrag von The Grinch » 19 Okt 2011, 07:49

Merkel-Fakebilder?
(btw kann man da überhaupt ein Fake herstellen?)

Unknown

Re: Staatstrojaner 2.0 - Neue Funktionen und 64 Bit

Beitrag von Unknown » 12 Nov 2011, 21:06

Allerdings sollte man den Trojaner lieber installiert lassen, ihn isolieren und mit Schwachsinn füttern.
Wurde der Schwachsinn so präpariert, dass das Wissen über denselben nur illegal erlangt werden kann, wird das ein lustiger Prozess!
Ich habe mir einen Trojaner via Facebook eingefangen, aber keines meiner pogramme findet ihn, geschweigen denn kann ihn löschen... wie kann ich den Trojaner also finden und ihn löschen bzw. isolieren? und wie mit müll stopfen?

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34738
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Staatstrojaner 2.0 - Neue Funktionen und 64 Bit

Beitrag von doelf » 13 Nov 2011, 11:39

Über Facebook wir es nicht der Staatstrojaner sein, sondern irgendein anderer Schädling.

Wenn Virenscanner unter Windows nichts finden, empfiehlt sich eine Boot-CD mit Virenschutz:
Im BIOS das optische Laufwerk (CD, DVD, BluRay) als erstes Bootgerät aktivieren. Der Computer startet dann von der CD, so dass der Virus inaktiv bleibt. Die Boot-CDs enthalten Antivirenprogramme, mit denen der Virus aufgespürt und gelöscht werden kann.

Wichtig:
- Den Computer über Kabel mit dem Netzwerk verbinden, damit sich die Antivirensoftware aktualisieren kann!
- Durch die Virenbereinigung können auch Daten verloren gehen!

Gruß

Michael

Antworten