CCC knackt Bundestrojaner, Chaos Computer Club analysiert Staatstrojaner Einstellungen

[FreeBSDler]

Wundert dich das wirklich ?

Wir werden doch ständig in einer Tour, und lange Zeit, von Politik und deren Bediensteten belogen und betrogen !
Die machen halt ungestraft weiter und weiter, über unsere Köpfe hinweg.
Wenn der Profalla seinen Kollegen mal so eben beschimpft, was glaubst du denn was die hinter verschlossenen Türen über den normalen arbeitenden Bürger reden und sagen ?

Alles verlogene Wendehälse usw.

Und wenn alle ungraden Politiker auf einen Schlag im Bundestag verschwinden würden, dann würde dort IMHO evtl. nur noch der Ströbele allein sitzen.

Ich höre besser auf bevor ich noch vollends heiß laufe....

Das BKA behauptet in den TV Nachrichten diese verfassungswidrige Software wäre nicht eingesetzt worden dabei kam der Bundestrojaner von Festplatten von Verdächtigen und die C&C Server sind sogar noch aktiv, solche unverschämten Lügen lässt man kritiklos dastehen.

[Voyager]

Ich hab mal Heise direkt angeschrieben auf den Verdacht des Bundestrojaner Whitelisting , das Norton Deutsch nach 10-12h den Bundestrojaner immernoch nicht erkennt obwohl laut Virustotal die Corporate Edition den Trojaner seit heute früh erkennt, mittlerweile sogar mit einer zweiten Signatur Backdoor r2d2 .
http://www.virustotal.com/file-scan/report...7bc4-1318185682

Ich hab das extra auf virtuellen Maschinen eben gerade noch gegengeprüft mit Norton deutsch und auf einer zweiten mit Norton engl. , Update eingespielt und Bundestrojaner gescannt. Keine Reaktion.

Wenn sich mein Verdacht bestätigt dann ist der Trojaner 100pro echt.

Der Beitrag wurde von Voyager bearbeitet: 09.10.2011, 20:20

[Lucky]

Avira erkennt ihn aber. NOD32 deutsch auch.

[Catweazle]

Ich hab mal Heise direkt angeschrieben auf den Verdacht des Bundestrojaner Whitelisting , das Norton Deutsch nach 10-12h den Bundestrojaner immernoch nicht erkennt obwohl laut Virustotal die Corporate Edition den Trojaner seit heute früh erkennt, mittlerweile sogar mit einer zweiten Signatur Backdoor r2d2 .
http://www.virustotal.com/file-scan/report...7bc4-1318185682

Ich hab das extra auf virtuellen Maschinen eben gerade noch gegengeprüft mit Norton deutsch und auf einer zweiten mit Norton engl. , Update eingespielt und Bundestrojaner gescannt. Keine Reaktion.

Wenn sich mein Verdacht bestätigt dann ist der Trojaner 100pro echt.

Ui, großes Kino hier, spannend und unterhaltsahm.

In der tageschau von heute 20 Uhr wurde alles dementiert, ---> http://www.tagesschau.de/multimedia/sendung/ts29508.html ....von der Bundesregierung, haben wir noch eine ?

Catweazle

[Voyager]

23.30 Uhr und noch keine Erkennung von Norton auf beide Dateien (DLL und SYS) ! sieht für mich sehr verdächtig aus.

Die Zeit ist schon lange verstrichen wo Norton in der Regel das am Abend erkennt was bei Virustotal bei Symantec tagsüber als Erkennung steht .

Symantec scheint wohl dem Gesuch nachgekommen zu sein deutsche Bundestrojaner in Norton-Versionen zu whitelisten.

[Hexo]

Symantec scheint wohl dem Gesuch nachgekommen zu sein deutsche Bundestrojaner in Norton-Versionen zu whitelisten.

Wenn dem so wäre, werde ich meine Lizenzen abstoßen und Norton den Rücken kehren....

Der Beitrag wurde von Hexo bearbeitet: 09.10.2011, 22:49

[Voyager]

Vll. spinnen ja auch alle meine Norton Versionen , testet doch mal mit !
Auf dem Host erkennt Norton nichts und in der VM mit Norton deutsch und auf der anderen mit Norton englisch auch nicht.

[Hexo]

Hab hier die Datei runter geladen:
http://www.rokop-security.de/index.php?s=&...st&p=343663
und mittels rechter Maustaste gescannt. Das Ergebnis war folgendes (siehe anhang).
Mehr traue ich nicht da ich immer noch keine vm aufgesetzt habe.

Angehängte Datei(en)

 Snap_2011.10.10_06h01m41s_001_Scan_auf_Anforderung.png ( 38.7KB ) Anzahl der Downloads: 50

 

[Gast_Scrapie_*]

Der Installer wäre interessant , ob Verhaltensblocker anschlagen.

Zitat von Fabian aus dem EAM-Forum:

Ich hab mir zwischenzeitlich auch mal die Samples angeschaut. Es hängt natürlich viel vom Dropper ab, der bislang noch nirgendwo aufgetaucht ist, aber zumindest die Komponenten die bekannt sind, sollten problemlos von der Verhaltensanalyse erkannt werden.

Scrapie

[Voyager]

Fast 24h später kommt die Erkennung , wer weiss vll. musste Symantec ja doch erst die Dateien von der Whitelist runternehmen ? Normalerweise wenn Symantec auf Virustotal Tagsüber etwas Neues erkennt dauert das nicht länger als 6-8 Stunden bis die Signatur auch beim HomeClient Norton AV endgültig rein ist.

Angehängte Datei(en)

 1.jpg ( 53.15KB ) Anzahl der Downloads: 33

 

[Habakuck]

Eine Whitelist ist glaube ich garnicht nötig. Wie Domino ja schon kurz angesprochen hat ist das verwendete AV eh egal wenn man gezielt angegriffen wird. Die haben ein bischen mehr Ahnung als wir.. da muss man sich nichts vormachen.

Der CCC hat richtiger Weise erst das BKA und dann die AV Hersteller informiert damit laufende Ermittlungen nicht gefährdet werden. In so fern hat Symantec evtl. ein bischen länger die Füße still gehalten als die Anderen um keinen Ärger zu riskieren. Das wäre so meine Vermutung.

Der Beitrag wurde von Habakuck bearbeitet: 10.10.2011, 09:48

[Gast_Fabian Wosar_*]

Zu Mamutu bzw. verhaltensbasierter Erkennung im allgemeinen kann man nichts sagen, da ja nur ein Treiber (winsys32.sys) und eine dll (mfc42ul.dll) davon geleaked sind. Also nichts ohne weiteres ausführbares.

Es sind auch die Umstände bekannt, wie der Trojaner im System installiert war z.B.. Basierend darauf und den Informationen, die ich beim Reversen gesammelt habe, wäre ich doch sehr erstaunt wenn nicht jedes halbwegs brauchbare HIPS und jeder halbwegs brauchbare Behavior Blocker Alarm schlagen.

Danke, wie geil ist der Name bitteschön

Das ist endlich ein Name, unter dem sich zumindest der deutsche Otto-Normal-Verbraucher sich etwas vorstellen kann. Genau deshalb hab ich den Samples den Namen auch verpasst .

[Habakuck]

Danke für die Erläuterungen Fabian!

Wie kam F-Secure eigentlich zu der R2D2 Erkennung bevor CCC das Ding veröffentlich hat??

[Gast_Fabian Wosar_*]

Wie kam F-Secure eigentlich zu der R2D2 Erkennung bevor CCC das Ding veröffentlich hat??

Der CCC hat laut eigener Aussage das Sample an AV Hersteller weitergegeben. Daher hat F-Secure wahrscheinlich das Sample. Wie sie auf den Namen kommen, ist recht offensichtlich. Der Trojaner benutzt ein eigenes Protokoll um mit dem Server zu kommunizieren. Dabei beginnen Anfragen, die der Trojaner an den Server sendet, mit folgendem String: "C3PO-r2d2-POE". Offensichtlich war der Entwickler wohl Star Wars Fan . Von da stammt wahrscheinlich der Name.

Der Beitrag wurde von Fabian Wosar bearbeitet: 10.10.2011, 11:55

[Habakuck]

Der CCC hat laut eigener Aussage das Sample an AV Hersteller weitergegeben. Daher hat F-Secure wahrscheinlich das Sample. Wie sie auf den Namen kommen, ist recht offensichtlich. Der Trojaner benutzt ein eigenes Protokoll um mit dem Server zu kommunizieren. Dabei beginnen Anfragen, die der Trojaner an den Server sendet, mit folgendem String: "C3PO-r2d2-POE". Offensichtlich war der Entwickler wohl Star Wars Fan . Von da stammt wahrscheinlich der Name.

^^ sowas finde ich immer herrlich! =D

[Gast_J4U_*]

Alles verlogene Wendehälse usw.
Und wenn alle ungraden Politiker auf einen Schlag im Bundestag verschwinden würden, dann würde dort IMHO evtl. nur noch der Ströbele allein sitzen.

Du meinst jetzt diesen Ströbele, den die SPD aus ihren Reihen verbannt hat, weil er RAF-Terroristen als "Liebe Genossen" bezeichnete und der auf einmal grün geworden ist?

Dreck haben die alle am Stecken und wetten, das große Geschrei hört bald auf und in ein paar Wochen tun alle so, als wäre nichts gewesen.
BB is watching you...

J4U

[maneater]

wird eh nur ne gefakte variante sein, damit nen par leutz jetzt wie hier hin und her hoppeln können und glauben se wären jetzt sicher nettes marketing gag vom bund wie man sieht klapts hevoriragend ;:D

[Gast_florian5248_*]

Gute Reklame für die Priatenpartei.

[Rios]

Guten Abend,
Stück für Stück kommt man der Sache etwas näher. Der Bayern Trojaner??
http://www.heise.de/security/meldung/Staat...rn-1358091.html

[Solution-Design]

....Schrieb jede Menge wirres Zeuch