1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Staatstrojaner 2.0 - Neue Funktionen und 64 Bit !

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von collombo, 19. Oktober 2011.

  1. collombo
    Offline

    collombo Ist gelegentlich hier

    Registriert:
    15. Oktober 2011
    Beiträge:
    39
    Zustimmungen:
    15
    Punkte für Erfolge:
    0
    Tillmann Werner und Stefan Ortloff von Kaspersky Lab haben eine neue Variante des Staatstrojaners untersucht, die nun auch 64-Bit-Varianten von Windows infizieren kann. Zudem greift der Trojaner nicht nur Skype, sondern auch diverse Messenger-Programme und Internetbrowser an.

    Wie die Sicherheitsexperten berichten, enthält der Dropper fünf weitere Binärdateien, so dass es sich insgesamt um sechs Komponenten handelt.
    Neben Skype werden von der neuen Variante auch die Internetbrowser Firefox und Opera sowie die Kommunikationsprogramme ICQ, der MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster und der Yahoo! Messenger infiziert.
    Insgesamt greift der Trojaner die folgenden 15 Programmdateien an:

    explorer.exe
    firefox.exe
    icqlite.exe
    lowratevoip.exe
    msnmsgr.exe
    opera.exe
    paltalk.exe
    simplite-icq-aim.exe
    simppro.exe
    sipgatexlite.exe
    skype.exe
    skypepm.exe
    voipbuster.exe
    x-lite.exe
    yahoomessenger.exe

    Der Schadcode wird über den Dropper selbst, über zwei User-Mode-Komponenten und über einen 32-Bit-Kernel-Treiber eingebracht.
    Im Gegensatz zur Vorgängerversion startet dieser Treiber einen Thread, der ständig die laufenden Prozesse überwacht und eine DLL in mögliche Angriffsziele injiziert.
    Die DLL-Injektion findet entweder direkt beim Erstellen eines neuen Prozesses statt (AppInit) oder es wird ein externer Thread in einem bereits laufenden Prozess erzeugt, der auf eines der User-Mode-Module (mfc42ul.dll) verweist.

    Während der vom Chaos Computer Club (CCC) untersuchte Trojaner auf 32-Bit-Versionen von Windows beschränkt war, kann die neue Variante auch 64-Bit-Systeme angreifen.
    Der dazu verwendete Treiber ist signiert, doch den angeblichen Herausgeber "Goose Cert" gibt es gar nicht.
    Wie die Spionagesoftware das Betriebssystem dazu bringt, das falsche Zertifikat zu akzeptieren, ist bisher noch ungeklärt.
    Im Gegensatz zur 32-Bit-Version kann der 64-Bit-Treiber keine Prozesse infizieren, er legt jedoch ein neues Gerät an und implementiert ein einfaches Protokoll, um mit User-Mode-Applikationen zu kommunizieren.

    Kasperskys Virenschutz erkennt alle Komponenten des neuen Trojaners als "R2D2 trojan/rootkit".
    Der Dropper selbst wurde schon zuvor von der Heuristik entdeckt und blockiert.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?




    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

     
    #1
  2. phantom

    Nervigen User Advertisement

  3. Dr.Nobody
    Offline

    Dr.Nobody Ist oft hier

    Registriert:
    26. Januar 2011
    Beiträge:
    130
    Zustimmungen:
    24
    Punkte für Erfolge:
    18
    AW: Staatstrojaner 2.0 - Neue Funktionen und 64 Bit !

    Hier ein Scantool das auch für 64Bit geeignet ist.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?




    Dr.Nobody
     
    #2

Diese Seite empfehlen