Sicherheit

Diese Virenscanner finden den Bundestrojaner

Gegen den Bundestrojaner gab es schon vor seinem ersten Einsatz erheblichen Widerstand. Nachdem dem Chaos Computer Club die Unrechtmäßigkeit des Bundestrojaners festgestellt hat, stellt sich die Frage: Welche Virenscanner erkennen und entfernen die auch Staats- oder BKA-Trojaner genannte Malware und wie erkennen sie sie?

Der Bundestrojaner - zumindest in seiner bekannten Form - hat anscheinend ausgedient: Am Samstag veröffentlichte der Chaos Computer Club nicht nur eine ausführliche Analyse, sondern stellte gefundenen Trojaner auch direkt unter www.ccc.de/de/updates/2011/staatstrojaner für jedermann zum Download bereit. Die Absicht dahinter ist, mit der Unterstützung der Webgemeinde die Malware noch weiter zu analysieren und weitere Beweise dafür zu erhalten, dass der Trojaner seine Arbeit nicht gemäß gesetzlicher Vorgaben verrichtete und für weitere Schnüffelaufgaben mißbraucht werden konnte.

Diese Virenscanner finden den Bundestrojaner 1 von 16

Bild vergrößern >

Der Bundestrojaner in Avira AntiVir

Von Aviras AntiVir werden beide Dateien als "TR/GruenFink.1" erkannt - auch von der kostenlosen Version.

Der Bundestrojaner in AVG Anti-Virus 2012

Der Bundestrojaner in Bitdefender Antivirus Plus 2012

Der Bundestrojaner in Immunet 3.0 (ClamAV)

Lädt man die Bundestrojaner-Datei vom CCC-Server herunter, erhält man ein File mit dem Namen "0zapftis-release.tgz", das sich mit gängigen Tools wie 7-Zip entpacken lässt. Man bekommt schließlich ein tar-Archiv mit dem Namen "0zapftis-release", das nach dem letzten Entpacken die Dateien "mfc42ul.dll" und "winsys32.sys" bereithält - die beiden Übeltäter. Ohne entsprechende Installation sind beide Files ungefährlich, werden allerdings inzwischen schon beim Entpacken von zahlreichen Virenscannern als Trojaner erkannt, sofern ein residenter Schutz, also eine Überprüfung im Hintergrund, aktiviert worden ist. Ansonsten reicht meist ein Rechtsklick und das Aufrufen des entsprechenden Virenscanner-Eintrags.

Nach Identifizierung beider Dateien durch die inzwischen meisten Virenscanner dürfte diese Form des Bundestrojaners der Vergangenheit angehören. Es kann natürlich sein, dass Hacker aus den beiden DLLs einen neuen Trojaner basteln, den sie dann wieder über die üblichen Wege (Spam-E-Mails, modifizierte Websites) bei Anwendern unterbringen, die die Software auf ihrem Rechner nicht auf dem neuesten Stand halten.

Wahrscheinlicher ist es jedoch, dass sie diesen Trojaner modifizieren, der sich in der Datei "mfc42ul.dll" mit einem Hex-Editor wie HxD von http://mh-nexus.de/de an Offset 4C458 als "C3PO-r2d2-POE" zu erkennen gibt. Wenn die Antivirus-Tools aus Geschwindigkeitsgründen in erster Linie nur eine Checksumme zur Identifizierung gefährlicher Dateien verwenden, wird schon eine kleine Veränderung z.B. der Kennung dafür sorgen, dass die Malware nicht mehr erkannt wird.

Es wird daher in den nächsten Monaten spannend werden, ob weitere Varianten auftauchen oder Hacker-Modifikationen des Trojaners im Web kursieren werden.