Kaspersky findet weitere Version des Staatstrojaners
Version 2.0
Kaspersky findet weitere Version des Staatstrojaners
Bericht | 19. Oktober 2011 13:10
64-Bit-Version des Trojaners kann den Zertifikatsspeicher von Windows umgehen
Analysten des Antivirensoftware-Hersteller Kaspersky haben eine neue erweiterte
Version des Bundestrojaner entdeckt. Die ebenfalls von Digitask entwickelte
Schadsoftware kann auch die 64-Bit-Version von Windows angreifen und mehr
Programme abhören als sein Vorgänger.
Sechs Dateien
Die Version 2.0 des Bundestrojaner besteht aus insgesamt sechs Dateien, fünf
mehr als die ursprüngliche Version. Die Dateien wurden in einem
Installationsprogramm gefunden, das von F-Secure entdeckt wurde.
15 Applikationen werden angegriffen
15 Applikationen werden von dem Programm angegriffen, darunter fallen alle
gängigen Browser, verschiedene Instant-Messenger und Voice-Over-IP Software, wie
ICQ, Skype und MSN Messenger. Kapersky hat auf seinem Blog eine Liste mit allen
betroffenen Programmen veröffentlicht.
Gefälschte Signierung
Auch ein signierter 64-Bit-Treiber wurde entdeckt. Das Zertifikat wurde Goose
Cert, einer fiktiven Firma, herausgegeben. Die Signatur wird benötigt, damit der
Treiber von einer 64-Bit Version von Windows geladen wird. Was das
Betriebssystem bei einem gefälschten Zertifikat normalerweise nicht tut.
Antivirensoftware nutzlos
Dafür muss das Programm den Zertifikatsspeicher hacken. Wie der Trojaner sich
Zugang verschafft ist bisher noch unklar. Aber, laut heise, kann
Antivirensoftware den Staatstrojaner nicht abwehren. Da die Schadsoftware fähig
ist den Zertifikatsspeicher zu manipulieren, dürfte es auch nicht schwer fallen
Antivirensoftware auszuschalten. (soc