Kaspersky findet weitere Version des Staatstrojaners

19. Oktober 2011, 13:10
70 Postings

64-Bit-Version des Trojaners kann den Zertifikatsspeicher von Windows umgehen

Analysten des Antivirensoftware-Hersteller Kaspersky haben eine neue erweiterte Version des Bundestrojaner entdeckt. Die ebenfalls von Digitask entwickelte Schadsoftware kann auch die 64-Bit-Version von Windows angreifen und mehr Programme abhören als sein Vorgänger.

Sechs Dateien

Die Version 2.0 des Bundestrojaner besteht aus insgesamt sechs Dateien, fünf mehr als die ursprüngliche Version. Die Dateien wurden in einem Installationsprogramm gefunden, das von F-Secure entdeckt wurde.

15 Applikationen werden angegriffen

15 Applikationen werden von dem Programm angegriffen, darunter fallen alle gängigen Browser, verschiedene Instant-Messenger und Voice-Over-IP Software, wie ICQ, Skype und MSN Messenger. Kapersky hat auf seinem Blog eine Liste mit allen betroffenen Programmen veröffentlicht.

Gefälschte Signierung

Auch ein signierter 64-Bit-Treiber wurde entdeckt. Das Zertifikat wurde Goose Cert, einer fiktiven Firma, herausgegeben. Die Signatur wird benötigt, damit der Treiber von einer 64-Bit Version von Windows geladen wird. Was das Betriebssystem bei einem gefälschten Zertifikat normalerweise nicht tut.

Antivirensoftware nutzlos

Dafür muss das Programm den Zertifikatsspeicher hacken. Wie der Trojaner sich Zugang verschafft ist bisher noch unklar. Aber, laut heise, kann Antivirensoftware den Staatstrojaner nicht abwehren. Da die Schadsoftware fähig ist den Zertifikatsspeicher zu manipulieren, dürfte es auch nicht schwer fallen Antivirensoftware auszuschalten. (soc)

  • Bild nicht mehr verfügbar
Share if you care.