Sicherheit

Diese Virenscanner finden den Bundestrojaner

Gegen den Bundestrojaner gab es schon vor seinem ersten Einsatz erheblichen Widerstand. Nachdem dem Chaos Computer Club die Unrechtmäßigkeit des Bundestrojaners festgestellt hat, stellt sich die Frage: Welche Virenscanner erkennen und entfernen die auch Staats- oder BKA-Trojaner genannte Malware und wie erkennen sie sie?

Malware-Bedrohung

© Weka

Malware-Bedrohung

Der Bundestrojaner - zumindest in seiner bekannten Form - hat anscheinend ausgedient: Am Samstag veröffentlichte der Chaos Computer Club nicht nur eine ausführliche Analyse, sondern stellte gefundenen Trojaner auch direkt unter www.ccc.de/de/updates/2011/staatstrojaner für jedermann zum Download bereit. Die Absicht dahinter ist, mit der Unterstützung der Webgemeinde die Malware noch weiter zu analysieren und weitere Beweise dafür zu erhalten, dass der Trojaner seine Arbeit nicht gemäß gesetzlicher Vorgaben verrichtete und für weitere Schnüffelaufgaben mißbraucht werden konnte.

Lädt man die Bundestrojaner-Datei vom CCC-Server herunter, erhält man ein File mit dem Namen "0zapftis-release.tgz", das sich mit gängigen Tools wie 7-Zip entpacken lässt. Man bekommt schließlich ein tar-Archiv mit dem Namen "0zapftis-release", das nach dem letzten Entpacken die Dateien "mfc42ul.dll" und "winsys32.sys" bereithält - die beiden Übeltäter. Ohne entsprechende Installation sind beide Files ungefährlich, werden allerdings inzwischen schon beim Entpacken von zahlreichen Virenscannern als Trojaner erkannt, sofern ein residenter Schutz, also eine Überprüfung im Hintergrund, aktiviert worden ist. Ansonsten reicht meist ein Rechtsklick und das Aufrufen des entsprechenden Virenscanner-Eintrags.

Nach Identifizierung beider Dateien durch die inzwischen meisten Virenscanner dürfte diese Form des Bundestrojaners der Vergangenheit angehören. Es kann natürlich sein, dass Hacker aus den beiden DLLs einen neuen Trojaner basteln, den sie dann wieder über die üblichen Wege (Spam-E-Mails, modifizierte Websites) bei Anwendern unterbringen, die die Software auf ihrem Rechner nicht auf dem neuesten Stand halten.

Wahrscheinlicher ist es jedoch, dass sie diesen Trojaner modifizieren, der sich in der Datei "mfc42ul.dll" mit einem Hex-Editor wie HxD von http://mh-nexus.de/de an Offset 4C458 als "C3PO-r2d2-POE" zu erkennen gibt. Wenn die Antivirus-Tools aus Geschwindigkeitsgründen in erster Linie nur eine Checksumme zur Identifizierung gefährlicher Dateien verwenden, wird schon eine kleine Veränderung z.B. der Kennung dafür sorgen, dass die Malware nicht mehr erkannt wird.

Es wird daher in den nächsten Monaten spannend werden, ob weitere Varianten auftauchen oder Hacker-Modifikationen des Trojaners im Web kursieren werden.

Bildergalerie

Der Bundestrojaner in Avira AntiVir
Galerie
Sicherheit

Gegen den Bundestrojaner gab es schon vor seinem ersten Einsatz erheblichen Widerstand. Nachdem dem Chaos Computer Club die Unrechtmäßigkeit des…

Bildergalerie

image.jpg
Galerie
PCgo-Bestenliste

Die Bestenliste der PCgo resultiert aus den Testergebnissen unserer Hard- und Software-Redaktion. Bei Punktgleichheit ist für die Platzierung aller…

Mehr zum Thema

Avira
Virenschutz

In dieser Woche erhalten Nutzer der Generation 2010 der Antivirusprodukte des Herstellers Avira ein Angebot, das sie kaum ablehnen können.
Der exzentrische Firmengründer John McAfee machte in letzter Zeit mit vielen Skandalen auf sich aufmerksam. Intel nennt die Firma nun um.
CES 2014

Intel kündigt auf der CES an, McAfee in Intel Security umzubenennen. Dies sei ein Schlussstrich unter die Eskapaden des einstigen Firmengründers.
Steganos Online Shield für Android schützt Ihre Daten unterwegs.
Schutz vor NSA & Hackern

Die quasi kostenlose Android-App Steganos Online Shield schützt Ihren Internet-Traffic auf Smartphone und Tablet. Damit sind Sie sicher vor NSA &…
PC Magazin Backup Pro
Backup-Software zur Datensicherung

PC Magazin Backup Pro bietet gegenüber der Easy-Version eine Reihe zusätzlicher Funktionen. Mit unseren Lösungen können Sie Datenverlust…
Symbolbild: Sicherheit
Kryptik-PFA-Trojaner

Avast Antivirus hat ein Signatur-Update erhalten, nach dem viele Windows-DLL-Dateien als "Kryptik-PFA"-Trojaner erkannt und geblockt wurden.