Kaspersky entdeckt neue Staatstrojaner-Version

Was auf dieser Liste steht, wird belauscht. Virenanalysten von Kaspersky haben eine neue Version des Staatstrojaners von Digitask entdeckt. Sie unterstützt auch 64-Bit-Windows und kann deutlich mehr Programme belauschen. Der große Bruder des vom CCC analysierten Trojaners besteht aus insgesamt fünf Dateien. Sie fanden sich in einem Installationsprogramm namens scuinst.exe (Skype CaptureUnit Installer), das F-Secure kürzlich aufgespürt hatte.

Neben Skype stehen eine Reihe von weiteren Voice-Over-IP-Applikationen auf der Liste der zu überwachenden Prozesse, aber auch Browser, Mail- und Instant-Messaging-Programme. Die vollständige Liste ist:

• explorer.exe
  
• firefox.exe
  
• icqlite.exe
• lowratevoip.exe
• msnmsgr.exe
• opera.exe
• paltalk.exe
• simplite-icq-aim.exe
• simppro.exe
• sipgatexlite.exe
• skype.exe
• skypepm.exe
• voipbuster.exe
• x-lite.exe
• yahoomessenger.exe

Darüber hinaus haben die Experten einen signierten 64-Bit-Treiber entdeckt, dessen Zertifikat vom fiktiven Herausgeber Goose Cert ausgestellt wurde. Eine Signatur ist Voraussetzung dafür, dass ein 64-Bit-Windows den Treiber lädt. Allerdings akzeptiert ein normales Windows das gefälschte Zertifikat nicht, so dass bei der Installation eigentlich auch der Zertifikatsspeicher von Windows manipuliert werden müsste. Wie dies geschieht, ist bislang unklar. Aber es wird immer klarer, dass Antiviren-Software keinen Schutz vor einem solchen Staatstrojaner bieten kann. Denn wer den Zertifikatsspeicher manipuliert, kann auch eventuell aufmüpfige AV-Software zum Schweigen bringen.

Und schließlich haben die Digitask- Entwickler offenbar weitere Rootkit-Methoden abgekupfert und neben der bekannten AppInit-Methode auch einen neuen Mechanismus implementiert, die Trojaner-Bibliothek im Kontext der Zielprozesse zu aktivieren. (ju)