Der 64-BIT Anti-Bundestrojaner

Finden, aber wie?
*

Wie Sie vielleicht im Blog gelesen haben, muss es aus meiner Sicht diesen Trojaner auch in einer 64 BIT Version geben. Alles andere wäre weltfremd! Inzwischen ist auch die mutmaßliche Urheberschaft klargestellt. Alles deutet auf die Firma DigiTask GmbH aus Hessen hin. Da stellt sich das Problem mit dem für 64 BIT Systeme notwendigen Zertifikat nicht mehr wirklich. (Zur Erinnerung: Unter 64 BIT Windows müssen alle Treiber digital signiert werden. Signiert man einen Treiber, unterschreibt man quasi mit seinem guten Namen) Bisher war man davon ausgegangen, es gäbe aus diesem Grund keine 64 BIT Version. Wer würde seinen Namen schon für eine Abhörsoftware hergeben? Das Problem vor dem wir standen war, dass zurzeit nur die Binärdateien für die 32 BIT Windows-Plattform verfügbar ist. Wie soll man also etwas finden, ohne genau zu wissen, wonach man suchen muss? Dieses Thema ließ uns keine Ruhe…

Unser Ansatz?
*

Wir bieten seit ca. 12 Jahren sehr systemnahe Software, darunter auch diverse Treiber an. Neben 32 BIT Versionen natürlich auch für 64-Bit Systeme. Wir wissen um die Unterschiede der beiden Plattformen. Daher haben wir den Bundestrojaner nochmals genau unter die Lupe genommen und Merkmale zusammengestellt, die auch in der 64 BIT Version auftauchen müssen, sofern es den 64-BIT Bundestrojaner denn gibt. Und genau nach diesen Merkmalen suchen wir jetzt mit einem s.g. heuristischen Verfahren (Heuristik: die Kunst, mit eingeschränktem Wissen in angemessener Zeit zu guten Lösungen zu kommen).

Das Ergebnis?
*

Kann sich durchaus sehen lassen. Die Analyse dauert auf einem normalen Rechner ca. 15 bis 20 Minuten und liefert im Ergebnis eine Liste mit hochgradig verdächtigen Dateien. Verdächtig deshalb, weil sie Kernmerkmale der bekannten Bundestrojanerversion aufweisen. Bei einem Fund kann man sich also sehr sicher sein, dass es sich um den Schädling in einer Variante handelt. Ein zusätzlicher Vorteil dieses Analyseverfahrens ist, dass man auch die angeblich in Umlauf befindlichen Varianten des Trojaners aufspüren kann. Laut DigiTask GmbH soll es eine Basis und eine erweiterte Version der Abhörsoftware geben, die dann in diversen Bundesländern zu Einsatz kamen.

Die mit heuristischem Verfahren gefundenen Spionagedateien werden mit Name und Pfad benannt, müssen jedoch manuell vom System entfernt werden.

Warum wir sicher sind, die 64-BIT Version zu finden, so es sie gibt?
*

– Dieser Abschnitt ist als Download verfügbar –

Wirft man einen Blick in die vorliegende 32-BIT Version, kann man s.g. Kernmerkmale finden, die genau so auch in der 64-BIT Version vorkommen müssen:

  1. Der Treiber richtet ein Gerät mit Namen „KeyboardClassC“ ein. Mit CreateFile (\\.\KeyboardClassC,…) wird man sich auch unter 64 BIT mit ihm verbinden können.

  2. Auch die 64-BIT Version wird ihre Erkenntnisse an den Server in den USA senden wollen
  3. Auch bei der Kommunikation der 64-BIT Version wird zur „Authentifizierung“ eine Kennung gesandt werden (C3PO-r2d2-POE)
  4. Die DLL wird vermutlich keine Funktionen exportieren und sich in DLLMain den Schadcode beheimaten
  5. Der Bundestrojaner in der 64-BIT Ausführung wird wie sein 32-BIT Bruder Interesse an den Browsern
    Internet Exporer, Opera, Firefox, Seamonkey, Skype, Navigator haben. Neuere Varianten enthalten sicher auch Google Chrome!
  6. Der Bundestrojaner in der 64-BIT Ausführung wird wie sein 32-BIT Bruder Interesse an den Messengern/Telefonieprogrammen SIPGateXLite, Yahoomessenger, MSN Messenger etc. haben

Sicher ließe sich die Liste noch um eine ganze Reihe weiterer Merkmale erweitern. Die aufgelisteten sind jedoch markant genug, um darauf aufbauend, eine sehr gute Erkennungsfunktion zu realisieren.

Verknüpft man die Merkmale mit einem logischen UND, sprich, man setzt voraus, dass der Bundestrojaner alle Merkmale erfüllen muss, hat man zwar Chancen, ihn zu finden, aber bereits kleinere Änderungen würden genügen, um die Suche ins Leere laufen zu lassen. Wir halten alle aufgelisteten Merkmale allerdings für Kernmerkmale. Ein einzelnes dieser Merkmale genügt, um mit hoher Wahrscheinlichkeit sagen zu können, dass es sich bei dem Fund um den Bundestrojaner oder eine Variante handelt.

Zum Angang...