Staatstrojaner auch als 64-Bit-Version verfügbar
Staatstrojaner auch als 64-Bit-Version verfügbar (Bild: Andreas Donath/Golem.de)

Kaspersky-Entdeckung

Staatstrojaner R2D2 existiert auch als 64-Bit-Version

F-Secure hat den Staatstrojaner-Installer entdeckt, Kaspersky Lab hat weitergeforscht - und die offene Zusammenarbeit der Konkurrenten hat funktioniert: Der deutsche Staatstrojaner ist in einer deutlich verbesserten Version entdeckt worden.

Anzeige

Die von staatlichen deutschen Stellen in Auftrag gegebene Schadsoftware mit dem Namen Backdoor/R2D2 (Microsoft-Eintrag) ist in einer vermutlich neueren und deutlich erweiterten Version entdeckt worden. Den "großen Bruder" des Staatstrojaners hat Kaspersky Lab gefunden und umfassend analysiert.

Die mutmaßlich neuere Version der dem CCC zugespielten Fassung kann auch moderne Systeme angreifen. Kaspersky fand die Version, nachdem F-Secure den Installer (Skype Capture Unit, scuinst.exe) entdeckt hatte. Dieser ist schon seit Dezember 2010 den Antivirenherstellern zugänglich, konnte jedoch bisher nicht zugeordnet werden.

Zertifikat muss auf 64-Bit-Systemen erst installiert werden

Dank F-Secures Hinweisen konnte Kaspersky die Schadsoftware aus der eigenen Sammlung zur Analyse extrahieren. Das Unternehmen fand dabei insgesamt fünf weitere Binärdateien und die Fähigkeit, auch auf 64-Bit-Systemen zu funktionieren. Der Staatstrojaner braucht die 64-Bit-Tauglichkeit aber nicht etwa, um mehr Speicher zu adressieren, sondern um überhaupt aktiv zu werden. Auf 64-Bit-Systemen müssen Kernelmodule digital signiert werden.

Das Kernel-Modul hat ein digitales Zertifikat, dem allerdings erst per Hand das Vertrauen ausgesprochen werden muss. So etwas ginge etwa bei direktem Zugriff auf das System. In so einem Fall lässt sich auch der Virenscanner deaktivieren. Interessanterweise ist das Modul mit einem Privilege Escalation Interface ausgestattet. Wozu die höheren Rechte genutzt werden, gibt Kaspersky aber nicht an.

Die neue Version des Staatstrojaners enthält eine veränderte Liste von Programmen, die überwacht werden dürfen. Die meisten sind allerdings bereits bekannt. Die Überwachung zielt auch hier nicht nur auf populäre Programme. So haben die Entwickler nicht nur daran gedacht, Internet-Explorer- und Firefox-Nutzer auszuspähen. Auch der Opera-Webbrowser wurde trotz des geringen Marktanteils mit einer Funktion bedacht.

Die Schadsoftware ist ein gutes Beispiel dafür, dass die Nutzung wenig verbreiteter Software gerade gegen solche gezielten Angriffe keinen Schutz bietet. Kaspersky listet noch die folgenden Programmdateien, die diese Trojaner-Version unterstützt: icqlite.exe, lowratevoip.exe, msnmsgr.exe, paltalk.exe, simplite-icq-aim.exe, simppro.exe, sipgatexlite.exe, skype.exe, skypepm.exe, voipbuster.exe, x-lite.exe, yahoomessenger.exe. Viele waren schon vorher bekannt.

Wie Heise Security herausgefunden hat, hilft die derzeitige Bekanntheit des Staatstrojaners Virenschutzprogrammen nicht. Nur wenige Änderungen an der Schadsoftware genügen, um den Signaturschutz auszuschalten. Sollte von staatlicher Seite die Software bereits angepasst worden sein, ist die Wahrscheinlichkeit sehr hoch, dass sie nicht entdeckt wird. Die Heuristiken schlagen bisher nur bei den Installationsdateien an. Wie F-Secure gibt auch Kaspersky an, dass nur der Installer über die Heuristiken erkannt wurde.

Werkzeuge, die derzeit bekannte Versionen des Staatstrojaners entfernen können, dürften dementsprechend ebenfalls nicht lange funktionieren. Ohnehin ist der Einsatz beispielsweise des Staatstrojaner-Removal-Tools von Bitdefender fragwürdig. Bei Schadsoftware, die Komponenten nachladen kann, gilt erst recht, dass ein System nur mit einer Neuinstallation gesäubert werden kann.


Threat-Anzeiger 20. Okt 2011

Warum diese Insellösung? Da sich deutsche bullen und deren kriminelle erfüllungsgehilfen...

Abseus 20. Okt 2011

das schon aber es muss sie trotzdem noch jemand anzeigen oder ein Geschädigter muss sie...

Ekelpack 20. Okt 2011

Der reine Wahnsinn. Friedrich ist echt nicht tragbar für einen Innenminister. Warum...

Charles Marlow 20. Okt 2011

Vor den Rechtsextremen muss man keine Angst haben. Die sind schon so vom BKA und...

Bibabuzzelmann 19. Okt 2011

Ist es nicht möglich über ein Programm die Echtheit der Certificate zu prüfen, das müsste...

Kommentieren



Anzeige

  1. Senior Testingenieure (m/w)
    MBtech Group GmbH & Co. KGaA, Neutraubling, Regensburg
  2. Software-Entwickler (m/w) für die Front-End-Entwicklung
    BELLIN Holding GmbH, Ettenheim
  3. SAP BI/BO Consultant (m/w)
    Media-Saturn-Holding GmbH, Ingolstadt
  4. Softwareentwickler für Embedded Systeme - Prozessornahe Software (m/w)
    MBtech Group GmbH & Co. KGaA, Neutraubling bei Regensburg

 

Detailsuche


Hardware-Angebote
  1. JETZT ÜBERARBEITET: Alternate Schnäppchen Outlet
    (täglich neue Deals)
  2. Apple TV MD199FD/A (3. Generation, 1080p) schwarz
    65,00€
  3. PCGH-Performance-PC Fury-X-Edition
    (Core i7-4790K + AMD Radeon R9 Fury X)

 

Weitere Angebote


Folgen Sie uns
       


  1. MVNO

    Apple will in den USA und Europa Mobilfunkanbieter werden

  2. Systemkamera

    Fujifilm bringt Infrarotkamera X-T1 IR auf den Markt

  3. Smartwatch

    Krankenkasse bezuschusst Kauf von Apple Watch

  4. Square Enix

    Erfahrungen eines Schwarmfinanzierungshelfers

  5. Autodesk Stingray-Engine

    Mit Stachelrochen Rattenmenschen erschaffen

  6. Dota 2

    Wer wird neuer Dota-Millionär?

  7. Macbooks

    IBM wechselt vom Lenovo Thinkpad zum Mac

  8. Xperia M5 und C5 Ultra

    Sonys Angriff auf die Mittelklasse

  9. Virtual Reality

    Strategien gegen Übelkeit

  10. Juke

    Film-Streaming-Flatrate bei Media-Saturn künftig möglich



Haben wir etwas übersehen?

E-Mail an news@golem.de



Simulus QR-X350.PRO im Test: Der Quadcopter, der vom Himmel fiel
Simulus QR-X350.PRO im Test
Der Quadcopter, der vom Himmel fiel
  1. Flugverkehrskontrolle Amazon will Drohnenverkehr regeln
  2. Paketzustellung Google will Flugverkehrskontrolle für Drohnen entwickeln
  3. Luftzwischenfall Beinahekollision zwischen Lufthansa-Flugzeug und Drohne

OCZ Trion 100 im Test: Macht sie günstiger!
OCZ Trion 100 im Test
Macht sie günstiger!
  1. PM863 Samsung packt knapp 4 TByte in ein flaches Gehäuse
  2. 850 Evo und Pro Samsung veröffentlicht erste Consumer-SSDs mit 2 TByte
  3. TLC-Flash Samsung plant SSDs mit 2 und 4 TByte

Broadwell-C im Test: Intels Spätzünder auf Speed
Broadwell-C im Test
Intels Spätzünder auf Speed
  1. Prozessorgeneration Skylake soll Detachable-Akkulaufzeit um ein Drittel steigern
  2. Core i7-5775C im Kurztest Dank Iris Pro Graphics und EDRAM überraschend flott
  3. Prozessor Intels Broadwell bietet die schnellste integrierte Grafik

  1. Re: apple watch fördern und das geld für hebammen...

    Feuerfred | 09:18

  2. Und Fussbälle, Badmintonschläger, Kondome...

    dabbes | 09:18

  3. wer Geld für eine Apple Watch hat ...

    norinofu | 09:18

  4. Re: so gerne ich Xperia mag

    flasherle | 09:17

  5. das steht zu befürchten :(

    flasherle | 09:16


  1. 08:31

  2. 08:03

  3. 07:51

  4. 07:39

  5. 07:22

  6. 19:36

  7. 19:03

  8. 17:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel