You are here

#0zapftis Teil 2 - neue Variante entdeckt

Das hat ja nicht lange gedauert! Wie Heise.de berichtet, hat Kaspersky eine neue Variante des Staatstrojaners von DigiTask entdeckt, dieses Mal in einer 64bit Version: 

Virenanalysten von Kaspersky haben eine neue Version des Staatstrojaners von Digitask entdeckt. Sie unterstützt auch 64-Bit-Windows und kann deutlich mehr Programme belauschen. Der große Bruder des vom CCC analysierten Trojaners besteht aus insgesamt fünf Dateien. Sie fanden sich in einem Installationsprogramm namens scuinst.exe (Skype CaptureUnit Installer), das F-Secure kürzlich aufgespürt hatte.

Der neue Trojaner schnorchelt nicht nur Skype oder andere VoIP-Anwendungen, sondern auch die Webbrowser Internet Explorer, Firefox und Opera, sowie diverse Instant Messenger. Besonders pikant ist folgendes: 

Darüber hinaus haben die Experten einen signierten 64-Bit-Treiber entdeckt, dessen Zertifikat vom fiktiven Herausgeber Goose Cert ausgestellt wurde. Eine Signatur ist Voraussetzung dafür, dass ein 64-Bit-Windows den Treiber lädt. Allerdings akzeptiert ein normales Windows das gefälschte Zertifikat nicht, so dass bei der Installation eigentlich auch der Zertifikatsspeicher von Windows manipuliert werden müsste. Wie dies geschieht, ist bislang unklar. Aber es wird immer klarer, dass Antiviren-Software keinen Schutz vor einem solchen Staatstrojaner bieten kann. Denn wer den Zertifikatsspeicher manipuliert, kann auch eventuell aufmüpfige AV-Software zum Schweigen bringen.

Die neue Variante scheint also sehr viel ausgereifter zu sein als die vom CCC entdeckte Version. Allerdings werden beide Varianten wohl über den gleichen Installer ("Dropper" bei Kaspersky genannt) auf dem System installiert. Weder Kaspersky noch Heise machen aber darüber Aussagen, ob der neue Staatstrojaner ebenfalls aus Deutschland stammt bzw. dort aufgespürt wurde. Als sicher kann aber anscheinend gelten, daß hier wohl auch DigiTask der Urheber war. Da die Firma die Software aber wohl auch ins Ausland verkauft hat, wäre die Information über das Land, in dem diese neue Variante nun gefunden wurde, auch enorm wichtig.

Ich bin jedenfalls auf die Reaktion der Politiker gespannt.

Kategorie: 
 

Add new comment

Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer