Trojaner

...und der nächste Staatstrojaner mach die Runde

 

Am 18. Oktober meldeten die Kaspersky Labs den Fund einer weiteren Version des Staatstrojaners, der einige Unterschiede zu der vom CCC analysierten Version aufweist, und bezog sich dabei auch auf einen Blog-Eintrag von F-Secure.

Neben einer erweiterten Liste überwachter Programme enthält dieser Fund nicht nur einen Installer, der bisher unbekannt war, sondern auch eine Komponente, die für 64-Bit-Windows-Systeme geschrieben ist und eine brisante Eigenschaft besitzt.

Der Skype Capture Unit Installer

Der Name des Installers, scuinst.exe, ist offensichtlich eine Abkürzung für "Skype Capture Unit Installer". Diese Benennung bestätigt noch einmal, dass der Software als deutscher Staatstrojaner erstellt wurde, denn unter dieser Bezeichnung wurde von deutschen Behörden eine Software für die Telekommunikationsüberwachung (TKÜ) für 2.075.256,07 € bei der Firma DigiTask in Auftrag gegeben. Das belegen veröffentlichte Dokumente. Der Installer kann zwischen 32- und 64-Bit-Windows-Systemen unterscheiden und installiert entsprechend unterschiedliche Kernel-Module. Außerdem ist er in der Lage, Programme nicht nur beim Start über die AppInit-Funktion zu infizieren, sondern auch Schadcode in laufende Programme einzuschleusen.

64-Bit-Windows mit gefälschtem Zertifikat

Das interessanteste an dem neuen Fund ist aber die 64-Bit-Komponente. Diese ist mit einem Zertifikat signiert, dessen Root-Zertifikat von einer fiktiven Zertifizierungsstelle "Goose Cert" stammt. Mit etwas technischem Verständnis ist ein solches Zertifikat relativ leicht zu erstellen, es wird aber auf keinem System anerkannt, solange das Root-Zertifikat nicht installiert ist. Der Versuch, ein so signiertes Programm zu starten, öffnet lediglich eine Dialogbox, die den Benutzer auf das ungültige Zertifikat hinweist. Um nicht aufzufallen und überhaupt lauffähig zu sein, müsste die Schadsoftware daher den Zertifikatspeicher von Windows so manipulieren, dass das Zertifikat anerkannt wird. Ob, und wenn ja, wie der Staatstrojaner dazu in der Lage ist, das ist bislang noch ungeklärt. Eine Software, die eine solche Fähigkeit besitzt, hätte aber freie Hand auf einem 64-Bit-Windows und könnte sich auch vor der Entdeckung und Entfernung durch Virenscanner schützen.