Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ Trojaner, Viren und Würmer _ CCC knackt Bundestrojaner
Geschrieben von: FreeBSDler 08.10.2011, 22:32
Chaos Computer Club analysiert Staatstrojaner.
http://www.heise.de/newsticker/meldung/CCC-knackt-Bundestrojaner-1357670.html
und...
http://ccc.de/de/updates/2011/staatstrojaner
sowie...
http://www.faz.net/aktuell/feuilleton/ein-amtlicher-trojaner-anatomie-eines-digitalen-ungeziefers-11486473.html
Geschrieben von: florian5248 08.10.2011, 22:44
Boah,
ein dickes Danke für deine Info FreeBSDler und einen Achtungserfolg für CC 
Geschrieben von: Voyager 09.10.2011, 00:42
The German Bundestrojaner , und das isser 
http://www.virustotal.com/file-scan/report.html?id=3407bf876e208f2dce3b43ccf5361c5e009ed3daf87571ba5107d10a05dc7bc4-1318115925
http://www.virustotal.com/file-scan/report.html?id=be36ce1e79ba6f97038a6f9198057abecf84b38f0ebb7aaa897fd5cf385d702f-1318115989
Laut Symantec haben die Dateien keine Reputation und sind erste diese Woche das erste mal gesehen worden.
Ich werd sie mal ans Websubmit einschicken als "German State Trojan used by German intelligence to hack into PCs and for stealing informations" . Mal gespannt ob sie´s Einpflegen.
Geschrieben von: flexibel44 09.10.2011, 08:26
Ich tippe auf "Nein".
Geschrieben von: Hexo 09.10.2011, 09:40
Ham se aber schon :-)
Finde ich gut.
Geschrieben von: SLE 09.10.2011, 09:41
Schon aus Marketinggründen werden (zumindest die geleakten) Varianten sicher von allen eingepflegt
Geschrieben von: Voyager 09.10.2011, 10:53
Symantec hatts schon "Backdoor.Earltwo" für beide Dateien , bin überrascht das es so fix ging .
Geschrieben von: SLE 09.10.2011, 11:18
Ja heute morgen hatten es neben F-Secure, Symantec, Kaspersky und Sophos von den Großen. Mittlerweile haben McAffee und Avira nachgezogen.
Naja - für ein paar News gut, zum Einsatz kommt diese Variante sicher nie.
Geschrieben von: Schattenfang 09.10.2011, 14:19
Was ist mit EAM? Erkennung möglich mit Mamutu?
Geschrieben von: SLE 09.10.2011, 14:32
In den Signaturen ist es mittlerweile. (die dll) (lustiger Name, mit der Mode gehen :-) )
|
Zu Mamutu bzw. verhaltensbasierter Erkennung im allgemeinen kann man nichts sagen, da ja nur ein Treiber (winsys32.sys) und eine dll (mfc42ul.dll) davon geleaked sind. Also nichts ohne weiteres ausführbares.
Geschrieben von: Schattenfang 09.10.2011, 14:38
Danke, wie geil ist der Name bitteschön 
Geschrieben von: Domino 09.10.2011, 15:31
http://www.ccc.de/system/uploads/77/original/0zapftis-release.tgz
Domino
Geschrieben von: Schattenfang 09.10.2011, 15:35
Danke:
http://www.abload.de/image.php?img=unbenannthzb0.png
Geschrieben von: Voyager 09.10.2011, 15:36
Der Installer wäre interessant , ob Verhaltensblocker anschlagen.
Geschrieben von: Domino 09.10.2011, 15:42
Interessant wäre das auf jeden Fall, aber
da das keine Massenware ist und "man" den zu infiltrierenden Rechner kennt, ist das eigentlich unerheblich. "Man" kann das sicherlich anpassen. Wenn nicht muss "man" halt eine Ausnahme in der jeweiligen Schutzsoftware einrichten.
Wenn das notwendig sein sollte ist physikalischer Zugriff sicherlich erlaubt.
Domino
Geschrieben von: florian5248 09.10.2011, 15:42
@Domino
Auch danke, F-sec2012 hat auch 3x Backdoor W32/R2D2.A usw. gefunden.
Geschrieben von: Schattenfang 09.10.2011, 18:01
Statement von F-Secure dazu:
We have never before analysed a sample that has been suspected to be governmental backdoor. We have also never been asked by any government to avoid detecting their backdoors.
Having said that, we detect this backdoor as Backdoor:W32/R2D2.A
http://www.f-secure.com/weblog/archives/00002249.html
Geschrieben von: Voyager 09.10.2011, 18:04
Schon jemand aufgefallen das Norton Deutsch bisher noch keinen Bundestrojaner erkannt hat , Symantec Corporate Edition erkennt den Bundestrojaner laut Virustotal ja seit heute Vormittag.
Geschrieben von: Schattenfang 09.10.2011, 18:10
und noch was zum lesen:
"Bundestrojaner" verfassungswidrig
Der Einsatz dieser Software verstoße gegen das Urteil des Bundesverfassungsgerichts vom 27. Februar 2008, das der Telekommunikationsüberwachung enge Grenzen setzt. Grüne, FDP und die Piratenpartei forderten eine Aufklärung und ein Einsatzverbot für den "Bundestrojaner". Bundesjustizministerin Sabine Leutheusser-Schnarrenberger erklärte, die FDP habe immer vor den Gefahren staatlicher Schnüffelsoftware gewarnt.
http://www.n24.de/news/newsitem_7326929.html
Geschrieben von: Voyager 09.10.2011, 19:25
Das BKA behauptet in den TV Nachrichten diese verfassungswidrige Software wäre nicht eingesetzt worden dabei kam der Bundestrojaner von Festplatten von Verdächtigen und die C&C Server sind sogar noch aktiv, solche unverschämten Lügen lässt man kritiklos dastehen.
Geschrieben von: FreeBSDler 09.10.2011, 20:09
Wundert dich das wirklich ? 
Wir werden doch ständig in einer Tour, und lange Zeit, von Politik und deren Bediensteten belogen und betrogen ! 
Die machen halt ungestraft weiter und weiter, über unsere Köpfe hinweg.
Wenn der Profalla seinen Kollegen mal so eben beschimpft, was glaubst du denn was die hinter verschlossenen Türen über den normalen arbeitenden Bürger reden und sagen ?
Alles verlogene Wendehälse usw.
Und wenn alle ungraden Politiker auf einen Schlag im Bundestag verschwinden würden, dann würde dort IMHO evtl. nur noch der Ströbele allein sitzen. 
Ich höre besser auf bevor ich noch vollends heiß laufe....
Geschrieben von: Voyager 09.10.2011, 20:18
Ich hab mal Heise direkt angeschrieben auf den Verdacht des Bundestrojaner Whitelisting , das Norton Deutsch nach 10-12h den Bundestrojaner immernoch nicht erkennt obwohl laut Virustotal die Corporate Edition den Trojaner seit heute früh erkennt, mittlerweile sogar mit einer zweiten Signatur Backdoor r2d2 .
http://www.virustotal.com/file-scan/report.html?id=3407bf876e208f2dce3b43ccf5361c5e009ed3daf87571ba5107d10a05dc7bc4-1318185682
Ich hab das extra auf virtuellen Maschinen eben gerade noch gegengeprüft mit Norton deutsch und auf einer zweiten mit Norton engl. , Update eingespielt und Bundestrojaner gescannt. Keine Reaktion.
Wenn sich mein Verdacht bestätigt dann ist der Trojaner 100pro echt.
Geschrieben von: Lucky 09.10.2011, 22:24
Avira erkennt ihn aber. NOD32 deutsch auch.
Geschrieben von: Catweazle 09.10.2011, 22:25
http://www.virustotal.com/file-scan/report.html?id=3407bf876e208f2dce3b43ccf5361c5e009ed3daf87571ba5107d10a05dc7bc4-1318185682
Ich hab das extra auf virtuellen Maschinen eben gerade noch gegengeprüft mit Norton deutsch und auf einer zweiten mit Norton engl. , Update eingespielt und Bundestrojaner gescannt. Keine Reaktion.
Wenn sich mein Verdacht bestätigt dann ist der Trojaner 100pro echt.
Ui, großes Kino hier, spannend und unterhaltsahm.
In der tageschau von heute 20 Uhr wurde alles dementiert, ---> http://www.tagesschau.de/multimedia/sendung/ts29508.html ....von der Bundesregierung, haben wir noch eine ?
Catweazle
Geschrieben von: Voyager 09.10.2011, 22:40
23.30 Uhr und noch keine Erkennung von Norton auf beide Dateien (DLL und SYS) ! sieht für mich sehr verdächtig aus.
Die Zeit ist schon lange verstrichen wo Norton in der Regel das am Abend erkennt was bei Virustotal bei Symantec tagsüber als Erkennung steht .
Symantec scheint wohl dem Gesuch nachgekommen zu sein deutsche Bundestrojaner in Norton-Versionen zu whitelisten.
Geschrieben von: Hexo 09.10.2011, 22:48
Wenn dem so wäre, werde ich meine Lizenzen abstoßen und Norton den Rücken kehren....
Geschrieben von: Voyager 09.10.2011, 22:59
Vll. spinnen ja auch alle meine Norton Versionen , testet doch mal mit !
Auf dem Host erkennt Norton nichts und in der VM mit Norton deutsch und auf der anderen mit Norton englisch auch nicht.
Geschrieben von: Hexo 10.10.2011, 05:05
Hab hier die Datei runter geladen:
http://www.rokop-security.de/index.php?s=&showtopic=21592&view=findpost&p=343663
und mittels rechter Maustaste gescannt. Das Ergebnis war folgendes (siehe anhang).
Mehr traue ich nicht da ich immer noch keine vm aufgesetzt habe.
|
Geschrieben von: Scrapie 10.10.2011, 06:52
Zitat von Fabian aus dem http://support.emsisoft.com/topic/6143-deutscher-bundestrojaner-co/:
Scrapie
Geschrieben von: Voyager 10.10.2011, 07:59
Fast 24h später kommt die Erkennung , wer weiss vll. musste Symantec ja doch erst die Dateien von der Whitelist runternehmen ? Normalerweise wenn Symantec auf Virustotal Tagsüber etwas Neues erkennt dauert das nicht länger als 6-8 Stunden bis die Signatur auch beim HomeClient Norton AV endgültig rein ist.
|
Geschrieben von: Habakuck 10.10.2011, 09:45
Eine Whitelist ist glaube ich garnicht nötig. Wie Domino ja schon kurz angesprochen hat ist das verwendete AV eh egal wenn man gezielt angegriffen wird. Die haben ein bischen mehr Ahnung als wir.. da muss man sich nichts vormachen.
Der CCC hat richtiger Weise erst das BKA und dann die AV Hersteller informiert damit laufende Ermittlungen nicht gefährdet werden. In so fern hat Symantec evtl. ein bischen länger die Füße still gehalten als die Anderen um keinen Ärger zu riskieren. Das wäre so meine Vermutung.
Geschrieben von: Fabian Wosar 10.10.2011, 10:04
Es sind auch die Umstände bekannt, wie der Trojaner im System installiert war z.B.. Basierend darauf und den Informationen, die ich beim Reversen gesammelt habe, wäre ich doch sehr erstaunt wenn nicht jedes halbwegs brauchbare HIPS und jeder halbwegs brauchbare Behavior Blocker Alarm schlagen.
Das ist endlich ein Name, unter dem sich zumindest der deutsche Otto-Normal-Verbraucher sich etwas vorstellen kann. Genau deshalb hab ich den Samples den Namen auch verpasst
.
Geschrieben von: Habakuck 10.10.2011, 10:21
Danke für die Erläuterungen Fabian!
Wie kam F-Secure eigentlich zu der R2D2 Erkennung bevor CCC das Ding veröffentlich hat??
Geschrieben von: Fabian Wosar 10.10.2011, 11:53
Der CCC hat laut eigener Aussage das Sample an AV Hersteller weitergegeben. Daher hat F-Secure wahrscheinlich das Sample. Wie sie auf den Namen kommen, ist recht offensichtlich. Der Trojaner benutzt ein eigenes Protokoll um mit dem Server zu kommunizieren. Dabei beginnen Anfragen, die der Trojaner an den Server sendet, mit folgendem String: "C3PO-r2d2-POE". Offensichtlich war der Entwickler wohl Star Wars Fan
. Von da stammt wahrscheinlich der Name.
Geschrieben von: Habakuck 10.10.2011, 12:29
. Von da stammt wahrscheinlich der Name.^^ sowas finde ich immer herrlich! =D
Geschrieben von: J4U 10.10.2011, 12:42
Und wenn alle ungraden Politiker auf einen Schlag im Bundestag verschwinden würden, dann würde dort IMHO evtl. nur noch der Ströbele allein sitzen.
Dreck haben die alle am Stecken und wetten, das große Geschrei hört bald auf und in ein paar Wochen tun alle so, als wäre nichts gewesen.
BB is watching you...
J4U
Geschrieben von: maneater 10.10.2011, 13:51
wird eh nur ne gefakte variante sein, damit nen par leutz jetzt wie hier hin und her hoppeln können und glauben se wären jetzt sicher 
nettes marketing gag vom bund wie man sieht klapts hevoriragend ;:D
Geschrieben von: florian5248 10.10.2011, 15:15
Gute Reklame für die Priatenpartei.
Geschrieben von: Rios 10.10.2011, 16:09
Guten Abend,
Stück für Stück kommt man der Sache etwas näher. Der Bayern Trojaner??
http://www.heise.de/security/meldung/Staatstrojaner-Eine-Spionagesoftware-unter-anderem-aus-Bayern-1358091.html
Geschrieben von: Solution-Design 10.10.2011, 19:26
Geschrieben von: Catweazle 10.10.2011, 19:35
Ich weiß nicht is ers wirklich ?
Catweazle
Geschrieben von: Solution-Design 10.10.2011, 19:44
Ist wer was
Geschrieben von: Voyager 10.10.2011, 19:56
dor bavarian trojan , bei "o´zapft´is" hätte man aber gleich auf Bayern kommen können , die fanden das offenbar witzig 60.000 Screenshots anzufertigen, aller 30 Sekunde eins , bei einem Pharma-Händler !
Das heisst es war kein Terrorismus oder ein Staat in Gefahr und obendrein wurde noch ein Verfassungsurteil verletzt.
Und Herr Uhl findet das alles als wenig hilfreiche Skandalsierung der Angelegenheit , wenn der Staat sich nicht an Recht und Gesetz hält, nach dem Motto Wir haben zwar Gelogen und Betrogen aber jetzt lasst uns doch die Sache einfach vergessen und wieder Freunde sein. Glaubt der das etwa wirklich was der von sich gibt.
Geschrieben von: Schattenfang 10.10.2011, 20:19
Ausschnitt aus dem Online-FAQ der Tagesschau:
Verhindern Antivirus-Programme oder eine Firewall einen Staatstrojaner?
Firewalls und Antivirus-Programme entdecken in erster Linie Viren und Schadprogramme, die sie bereits kennen oder die sehr typische Verhaltensweisen haben. Deswegen brauchen sie ständig aktuelle Virenlisten. Wenn der Staatstrojaner eine "Einzelanfertigung" ist, hat er gute Chancen, nicht erkannt zu werden. Ein Antivirus-Programm oder eine Firewall machen einen Angriff aber sicher schwieriger.
Gibt es ein Staatstrojaner-sicheres System?
Ja, einen Computer ohne Internet-Verbindung. Ein Schnüffel-Programm lässt sich natürlich aber auch ohne Internet-Verbindung installieren, wenn man Zugang zu dem Rechner hat.
http://www.tagesschau.de/inland/trojaner106.html
Geschrieben von: Rios 10.10.2011, 20:24
Guten Abend,
für alle die jetzt die Hosen voll haben, hier ist die Software!! der Anti-Bundestrojaner
https://www.steganos.com/de/produkte/gratis-fuer-sie/anti-bundestrojaner/screenshots
Geschrieben von: Solution-Design 10.10.2011, 20:31
Na, das ist doch mal ein Service 
Geschrieben von: Voyager 10.10.2011, 20:33
http://www.heise.de/newsticker/meldung/Staatstrojaner-Eine-Spionagesoftware-unter-anderem-aus-Bayern-1358091.html
Bayern will jetzt 3 Jahre nach dem Einsatz des rechtswidrigen Schnüffelprogramm ".. die Einhaltung der rechtlichen Vorgaben sorgfältig prüfen" , nach dem Motto Wir geben den Banken jetzt schonmal 150 Milliarden und prüfen in 3 Jahren die rechtlichen Vorgaben.
Geschrieben von: Voyager 10.10.2011, 21:02
The next James Bond is "Der Spion der mich siebte - wie der Bundestrojaner meine XP-Möhre schrottreif schoss"
Geschrieben von: florian5248 10.10.2011, 22:09
Lache mich weg, solange es nur die Xp-Möhre ist. Egal.
Habe eben gelesen, das W7x64 und Mac Rechner nicht betroffen sind.
Geschrieben von: uweli1967 10.10.2011, 23:02
Und nicht nur Steganos ist aktiv geworden 
ArchiCrypt Tool Anti-Bundestrojaner: http://www.chip.de/downloads/ArchiCrypt-Tool-Anti-Bundestrojaner_52141670.html
Geschrieben von: Voyager 10.10.2011, 23:11
Ich hab mal Symantec etwas auf die Sprünge geholfen, in ihrer Backdoor R2D2 Beschreibung steht :
http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2011-100906-1915-99&vid=53628
Wir untersuchen derzeit diese Bedrohung und werden mehr Informationen geben wenn verfügbar.
http://community.norton.com/t5/Norton-Internet-Security-Norton/Norton-Submissions-Tracker/m-p/558068#M177560
Apropo , Fsecure sollte mal jemand anschreiben, laut ihrem Weblog wissen sie auch nicht wer der Urheber des Bundestrojaner ist und wofür er gedacht ist http://www.f-secure.com/weblog/archives/00002249.html
Geschrieben von: FreeBSDler 11.10.2011, 00:09
Und was ist vorzuziehen, das oder das Tool von Steganos ?
ArchiCrypt Tool Anti-Bundestrojaner: http://www.chip.de/downloads/ArchiCrypt-Tool-Anti-Bundestrojaner_52141670.html Geschrieben von: Damnatus 11.10.2011, 00:14
Wie steht's allgemein mit x64-Rechnern?
Geschrieben von: FreeBSDler 11.10.2011, 00:15
Ich würde mich schlapp lachen wenn die Damen und Herrn, Abgeordnete und Minister, gerade diesen Trojaner auf ihren PCs, die die ja bestimmt besitzen, haben.
Man stelle sich Merkels und Schäubles Fratzen vor beim entdecken des Trojaners.
Geschrieben von: uweli1967 11.10.2011, 00:27
Das ist doch ganz einfach
Du musst beide Tools benutzen 
Geschrieben von: Voyager 11.10.2011, 00:30
Wie Schäuble reagiert wissen wir ja schon , er scheist sein Sprecher vor aller Augen zusammen ... "Offer , ich komme erst wieder wenn Sie den Virus beseitigt haben!"
Geschrieben von: FreeBSDler 11.10.2011, 00:45
Naja, soviel ich mittlerweile weiß sind beide Tools zu quasi identisch, oder ?
Du musst beide Tools benutzen Geschrieben von: dragonmale 11.10.2011, 00:47
Beide Tools stammen im Prinzip von Patric Remus (Archicrypt), also kannst Du auch gleich das Original nehmen
-> was im Übrigen auch auf einige (Bestand)Teile der restlichen Steganos-Software (inkl. Innovation und Design) zutrifft, nur das dort Steganos meistens hinterhinkt ...
Geschrieben von: FreeBSDler 11.10.2011, 00:57
Der war gut.
Und wenn man mal nach hält und bedenkt warum der im Rollstuhl sitzt. Da war mal wer richtig böse auf ihn, weil klar war dass das kein Guter ist, sondern ein ganz feist böser.
Manche sind es echt selbst schuld...
Obwohl, gut geheißen hab ich das auch nicht.
Geschrieben von: FreeBSDler 11.10.2011, 01:00
Jo, ist klar Mensch, hab`sch längst gecheckt.
Aber trotzdem Danke.
-> was im Übrigen auch auf einige (Bestand)Teile der restlichen Steganos-Software (inkl. Innovation und Design) zutrifft, nur das dort Steganos meistens hinterhinkt ...Geschrieben von: rolarocka 11.10.2011, 10:32
Hier auch mal was interessantes zum Thema von ESET:
"German Policeware: Use the Farce…er, Force…Luke"
http://blog.eset.com/2011/10/10/german-policeware-use-the-farce-er-force-luke
Geschrieben von: KHL64 11.10.2011, 11:28
Domino
das sagt GData:
Virenprüfung von Web-Inhalten
Adresse: www.ccc.de
Virus: Trojan.Generic.6714587, Backdoor.Agent.AAZH (Engine A), Win32:R2D2-E [Trj] (2x), Win32:R2D2-F [Trj] (Engine B)
Status: Der Zugriff wurde verweigert.
Geschrieben von: florian5248 11.10.2011, 11:50
Hier der Texte aus MSN:
Wie kann überpüft werden, ob der Trojaner auf der Festplatte ist?
Nach Angaben des CCC befindet sich eine Windows-DLL namens mfc42ul.dll
im Verzeichnis c:\windows\system32\ , dazu eine Kerneldatei mit der
Bezeichnung winsys32.sys. In der Registry gibt es einen Eintrag unter
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
AppInit_DLLs , die zum Ausführen des Codes dient. Bizarr:
Der Trojaner funktioniert bislang nur bei 32-Bit-Windows,
bei einem Windows auf 64-Bit-Basis oder einem Mac geht er nicht.
Leider konnte ich noch nicht mehr erfahren.
Geschrieben von: Fabian Wosar 11.10.2011, 16:07
Mittlerweile ist ja auch der Dropper aufgetaucht und rein aus Interesse hab ich doch einfach mal getestet was die Verhaltensanalyse so ausgespuckt hatte:
Denke das Resultat wird bei anderen Produkten nicht anders sein.
Geschrieben von: Voyager 11.10.2011, 16:09
Die Schwachmaten bei Digitask und oder Bka haben den Bundestrojaner-Dropper sogar vor dem Einsatz auf Virustotal getestet ohne zu wissen das das Sample am nächsten Tag bei den AV´s auf dem Tisch liegt
scuinst.exe = Skype Capture Unit Installer
http://www.f-secure.com/weblog/archives/00002250.html
@Fabian
Könntest du mir eventuell das Sample zukommen lassen , will das mal mit Sonar testen auf einer Installation ohne frische AV Signaturen.
Geschrieben von: Clap 11.10.2011, 16:34
unglaublich, und dafür werden 2.000.000 € unseres Geldes verplempert.
Wie lange machen wir deutschen das noch mit???
Geschrieben von: Voyager 11.10.2011, 16:37
Es stehen schon andere Zahlen im Raum weil die meisten Bundesländer bei Digitask eingekauft haben , Christopher Lauer von den Berliner Piraten der gerade bei Heiner Bremer auf Ntv Gast ist sprach von 13 Millionen für Quellen TKÜ . Das heisst für den stümperhaften Trojaner der sich nicht an Recht und Gesetz hält wurden Millionen an Steuergelder verschwendet.
Geschrieben von: Schattenfang 11.10.2011, 16:48
Lol, wenn das stimmen sollte:
http://www.dw-world.de/dw/article/0,,15449054,00.html
Geschrieben von: Rios 11.10.2011, 16:49
Der Staatstrojaner in dreieinhalb Minuten.
http://www.youtube.com/watch?feature=player_embedded&v=eRFhpmiUwU4
Geschrieben von: Habakuck 11.10.2011, 17:10
http://www.dw-world.de/dw/article/0,,15449054,00.html
Das stimmt. Seit 2009 ist der so oder ähnlich im Einsatz. Völlig unbehelligt von den AVs...
Soll ich meinen Spruch wieder auspacken? =D
"Wenn man gezielt angegriffen wird ist man am ... "
Geschrieben von: Schattenfang 11.10.2011, 17:59
Darum gehts mir gar nicht, sondern um die rechtliche Situation. Das muss einfach Ärger geben ansonsten weiß ich auch nicht mehr.
Geschrieben von: IRON 11.10.2011, 18:09
Wie wärs mit Montags-Demos und einem Runden Tisch. "Wir sind das Volk" und so...
Geschrieben von: Schattenfang 11.10.2011, 18:12
Muss ich nicht verstehen, oder?
Oder willst Du das Prinzip eines Rechtsstaats in Frage stellen? Wenn ja, dann sind Montagsdemos wohl eher was für Dich
Geschrieben von: lulatsch3001 11.10.2011, 19:09
hier gibt es den Steganos Anti-Bundestrojaner https://www.steganos.com/de/produkte/gratis-fuer-sie/anti-bundestrojaner/uebersicht/?et_cid=80&et_lid=46936
läuft aber nur auf 32bit systemen.
Geschrieben von: Clap 11.10.2011, 19:14
seh ich genau so. Langsam reicht es. Wir werden ausgebeutet, belogen und bespitzelt. Ich glaub ich wandre aus.
Geschrieben von: NETacc. 11.10.2011, 19:18
Danke für den Überblick. Ist es richtig, dass die bisher gesichteten Samples nicht (oder nur bedingt) auf 64bit-Systemen lauffähig sind? Falls doch, würde sich Mamutu in diesem speziellen Fall dort genauso verhalten?
Geschrieben von: J4U 11.10.2011, 19:19
J4U
Geschrieben von: Julian 11.10.2011, 19:23
Windows mit Truecrypt verschlüsseln und die Pfeifen vom Zoll bleiben außen vor...
Oder einfach Windows x64 benutzen.
Geschrieben von: Voyager 11.10.2011, 20:39
Isch will aber jetzt den Dropper , seid nee so geizisch
Geschrieben von: FreeBSDler 11.10.2011, 21:11
Bin ich eigentlich der einzige der es sehr merkwürdig findet dass dieser Trojaner die Daten an einen Rechner in den USA sendet ?
Verstehe ich nicht wirklich ?
Was hat ein Rechner in den USA denn mit dem ganzen Schlamassel zu tun ?
Geschrieben von: Catweazle 11.10.2011, 21:27
Verstehe ich nicht wirklich ?
Was hat ein Rechner in den USA denn mit dem ganzen Schlamassel zu tun ?
Genau, das meine ich auch ?!"
Wie heißt er jetzt nun Bundes Trojaner, Bayern Trojaner, Schleswigholsteiner, oder doch Tühringener ?
Wird alles in den Medien, und bei den Politikern, heuntergespielt, unter dem Teppich geschmissen, keiner weiß was wirkliches....
Und wie soll das Teil wirklich funktonieren, ...so das man sich eventuell selbst mal überwachen kann, könnte ?
Catweazle
Geschrieben von: IRON 11.10.2011, 21:55
Ich glaub schon. Entscheidend ist doch, wem er gehört - nicht, wo er steht. Im Zweifelsfall ist er im Ausland natürlich der deutschen Rechtsprechung entzogen.
Geschrieben von: Voyager 11.10.2011, 22:01
Bei mir läuft er grade in der VM.
Edit:
Es gibt sogar andere Varianten die "bisher" nur von 9 Scannern erkannt werden, datiert sind die Dateien "mfc42ul.dll winsys32.sys" auf den 14.4.2008 .
http://www.virustotal.com/file-scan/report.html?id=a6bddb465249dfcdaba4701c200e6586e654295e35559c6f4e1819a54eb37e0f-1318302095
http://www.virustotal.com/file-scan/report.html?id=5629def2c74872a32f2ad5b5d35edc572b64923ecda229a9c28e215e97669466-1318240105
Geschrieben von: DC01 11.10.2011, 22:15
Verstehe ich nicht wirklich ?
Was hat ein Rechner in den USA denn mit dem ganzen Schlamassel zu tun ?
Für mich ist das eigentlich recht klar.
Die wollten doch garantiert möglichst viel verschleiern.
Denn wenn der Trojaner ne Verbindung direkt in den IP-Adressraum des BKA aufbaut, wäre das schon sehr risikoreich,bei einer Entdeckung, vor allem wenn man weiß man verstößt gegen Verfassungsrecht
Rein theoretisch möglich wäre auch eine "Zusammenarbeit" mit unseren amerikanischen Freunden vom FBI+ CIA aber jetzt wird mir die Verschwörungstheorie dann doch etwas zu viel
Übrigens nach LANGER Abstinenz mal wieder ein Hallo ins Forum an alle alteingessenen User
Geschrieben von: Julian 11.10.2011, 22:15
Und jetzt macht der Schrotthaufen dir die kaputt?
Geschrieben von: Habakuck 11.10.2011, 22:25
Geschrieben von: Julian 11.10.2011, 22:52
Man kann denen auch den Stinkefinger zeigen.
Ok, sollte man vielleicht besser sein lassen.
Entweder, die "brisanten" (kriminellen?) Daten sind es wert, die Repressalien, die die Verweigerung der Schlüssel-Herausgabe nach sich ziehen, in Kauf zu nehmen, oder man sorgt als Mensch mit solchen Sorgen (
) eben vor/nach und lagert brisante Daten verschlüsselt ins Netz aus und nach dem Zoll macht man die Kiste platt.Man geht ja nicht alle fünf Minuten durch den Zoll und ein bisschen sein Hirn einschalten kann man auch...
Könntest du vielleicht Quellen rauskriegen, was er wirklich darf und was nicht?
Nicht, dass das wichtig wäre. Schließlich hat er (der Staat) bei dem Bundes-Trojaner auch schon bestehende Gesetze und Richtersprüche fröhlichst ignoriert.
Geschrieben von: Habakuck 11.10.2011, 22:57
Nicht, dass das wichtig wäre. Schließlich hat er (der Staat) bei dem Bundes-Trojaner auch schon bestehende Gesetze und Richtersprüche fröhlichst ignoriert.
Ich hab keine Lust grade in Paragraphen zu wühlen aber ich weiss aus Familien Kreisen, dass der Zoll sich unglaublich viel rausnehmen darf. Jetzt garnicht mal auf die Situation bezogen die sich jetzt vielleicht die meisten vorstellen: Zollkontrolle am Flughafen oder so sondern auch bezogen auf Durchsuchungen, aka Inspektionen in Unternehmen und so.
Da kann man auch nicht einfach sagen: Ist vertraulich. Da wird geöffnet. Basta. Und das ist sogar ohne Gerichtsbeschluss rechtens..
PS: Ich glaube der Zoll ist auch die einzige Institution die einem ohne groß zu fragen den Finger in Körperöffnungen stecken und einen nackt betrachten und begrapschen darf..
Geschrieben von: Voyager 11.10.2011, 23:45
Hier mal das Threatexpert Log des Bundestrojaner.
http://www.threatexpert.com/report.aspx?md5=309ede406988486bf81e603c514b4b82
Die Comodo Online Analyse
http://camas.comodo.com/cgi-bin/submit?file=021da2f5e892265cafd1642a44fe258ee56cf6e1393f6e0dc79add99fed1f15f
Sogar Norton Antibot erkennt ihn.
http://www.abload.de/image.php?img=18ube.jpg
http://www.abload.de/img/18ube.jpg
Geschrieben von: NETacc. 12.10.2011, 09:58
Wie verhält sich Sonar? Irgendeine Chance der Erkennung?
Geschrieben von: Voyager 12.10.2011, 12:58
Das war eher problematisch zu testen, Norton 2011/2012 haben den Dropper über Clouderkennung immer sofort weggefegt , wenn man das versucht zu umgehen funktioniert Sonar aber auch nicht mehr. Da NAB aber die Codeinjektion klar aufzeigt gehe ich mal davon aus das Sonar auch geschützt hätte.
Geschrieben von: Voyager 12.10.2011, 14:41
Steganos Antibundestrojaner arbeitet unvollständig , es deregistriert zwar den Systemtreiber es löscht ihn aber nicht. Nach dem Reboot befindet sich winsys32.sys immernoch im Systemverzeichnis.
Länderinfo zum Bundestrojaner http://0zapftis.info/
Geschrieben von: NETacc. 12.10.2011, 17:15
Schade. Aber ich dachte bisher immer, dass nichts von SSPR in die Entwicklung von Sonar geflossen wäre? Meines Wissens nach diente es nur zur Überbrückung vor der Einführung einer neuen Technologie (i.d.F. Sonar).
Geschrieben von: Kenshiro 12.10.2011, 17:35
http://www.emsisoft.de/de/kb/articles/tec111011/
Geschrieben von: Clap 12.10.2011, 17:52
Hallo,
hab mal mit dem neuen Comodo IS und Avast IS hier den link von Sempervideo ausprobiert.
Quelle Sempervideo:
http://www.evil-shit.de/bundestrojaner/
Beide finden nichts. Sehr merkwürdig.
Geschrieben von: Voyager 12.10.2011, 18:31
Vll. weils Passwort fehlt ? Wie lautet denn das Passwort.
Ich vestehe noch nicht ganz was du sagen wolltest ? Was ist SSPR .
Geschrieben von: Clap 12.10.2011, 18:38
danke, ich bin zu blöd
123456
Geschrieben von: Voyager 12.10.2011, 18:42
Ahh ok , Passwort war doch richtig... es sind die Dateien die der CCC zur Verfügung gestellt hatte.
Geschrieben von: NETacc. 12.10.2011, 18:47
Sorry, mit SSPR meine ich Sana Security Primary Response, was von Symantec zunächst aufgekauft und anschließend in Norton Antibot umbenannt worden ist.
Bisher bin ich davon ausgegangen, dass Sonar keinerlei Technologie davon verwendet. Ansonsten wundern mich die Rechtevergaben an AVG.
Geschrieben von: Catweazle 12.10.2011, 18:50
Liehst sich wirklich nicht gut das ganze, Antiviren-Software versagt beim Staatstrojaner
Antiviren-Software versagt beim Staatstrojaner
Meldung vorlesen und MP3-Download
Mittlerweile melden die meisten Viren-Scanner etwas mit R2D2, wenn sie auf eine der Trojaner-Dateien stoßen. Vergrößern Spätestens seit Montag schlagen alle Viren-Scanner Alarm, wenn man den vom CCC enttarnten Trojaner auf seinen Rechner laden will. Wer jedoch glaubt, er wäre damit vor der Spionage-Software im Staatsauftrag geschützt, der irrt sich gewaltig. Antiviren-Software hat kaum Chancen gegen derartige Schädlinge; einige der Alarmmeldungen waren sogar richtige Dummies.
Noch am Samstagvormittag erkannte kein einziges AV-Programm die Dateien als Gefahr. Mittlerweile melden die meisten etwas mit "Backdoor.R2D2" , wenn sie auf eine der vom CCC bereitgestellten Dateien treffen. Das soll Vertrauen bei den Anwendern schaffen.
...
Quelle: http://www.heise.de/security/meldung/Antiviren-Software-versagt-beim-Staatstrojaner-1359833.html
Cazweazle
Geschrieben von: markusg 12.10.2011, 18:53
naja, viel was auch auf andere malware zutrifft, einiges wurde durch voyager wiederlegt, mit antiboot zb.
und naja, wenn man physischen zugriff auf den pc hatt ist es ja wohl klar das man machen kann was man will.
Geschrieben von: NETacc. 12.10.2011, 18:58
Vieles davon ist mit Sicherheit nicht neu und lässt sich problemlos auf jegliche neue Malware übertragen. Leider wird in dem Artikel die Verhaltenserkennung eher beschmunzelt, als ernsthaft diskutiert. Ich bin mir sicher, dass Programme wie Mamutu die Installation verhindern können. Vorausgesetzt man bekommt ihn nicht unwissend beim Zoll per Fremdzugriff.
Geschrieben von: Voyager 12.10.2011, 18:59
@NETacc
Das ist unwesentlich ob ein Technologietransfer zwischen dem Sana Programm und Sonar besteht , wesentlich ist nur das Sonar Codeinjection prinzipiell erkennt und den Dropper daraufhin löscht. Du hast den anderen Teil nicht gelesen, ein Test war nicht machbar weil der Autoprotect auch ohne Signaturupdate (frische Installation) das Objekt immer gelöscht hatte (Clouderkennung) und Sonar ist separat nicht nutzbar wenn man den Autoprotect abstellt.
Geschrieben von: NETacc. 12.10.2011, 19:01
@Voyager
Ich habe dich da schon verstanden. Mir war nur nicht klar, warum Sonar zwangsläufig etwas erkennen muss, weil Antibot es tut. Daher meine Frage.
Geschrieben von: Voyager 12.10.2011, 19:06
Erfahrung , ich hab in der VM schon hunderte Sonar Erkennungen positiv getestet. Ich werds aber mal mit einer neuen frischen Installation probieren und dann mit blockiertem Netzwerk den Dropper starten . Der Dropper verwendet "anfänglich" kein Netzwerk um zu funktionieren, Sonar funktioniert dort aber nur eingeschränkt.
Geschrieben von: Julian 12.10.2011, 19:06
Danke für das Sample @ Voyager.
Das Ding ist echt armselig. Die Treiberdatei ist überhaupt nicht versteckt. Man muss sie nur ganz normal mit dem Explorer löschen und nach nem Neustart wars das.
Hallo? Gehts noch? Früher oder später muss doch jeder Idiot merken, wenn das Ding auf seinem System läuft. Was für ne Geldverschwendung...
Geschrieben von: markusg 12.10.2011, 19:09
vllt sollte das bka lieber leute kontaktieren die den tdss gemacht haben und in deren weiter entwicklung investieren
Geschrieben von: Julian 12.10.2011, 19:17
In irgendeinem Artikel (Heise?) wurde auch ein AV-Analyst so scherzhaft zitiert.
Das Traurige ist: Da ist wohl was dran.
Geschrieben von: M.Richter 12.10.2011, 19:20
http://www.rokop-security.de/index.php?s=&showtopic=21576&view=findpost&p=344014
"Dafür sei der Staatstrojaner im Vergleich zu krimineller Spähsoftware zu wenig aktiv und sein Verhaltensmuster eher untypisch. "Es gibt keine richtige Chance, sich gegen einen solchen zielgerichteten Angriff zur Wehr zu setzen", sagte Schmidt
Geschrieben von: markusg 12.10.2011, 19:29
jo @M.Richter
hier gehts ja wie gesagt um signaturen und es wurde kein programm mit vernünftiger verhaltensanalyse getestet.
auch die aufregung das einige hersteller erst n paar tage später nachziehen verstehe ich nicht, sie sollen doch lieber malware einbauen von der die menschen auch wirklich betroffen sind, wird ja wohl kaum passieren das die dropper und bestandteile des trojaners die jetzt so rumm fliegen im netz noch mal verwendet werden.
auch verstehe ich einen großen teil der aufregung sowieso nicht.
es sollte doch jedem klar sein, selbst wenn der deutsche staat nicht mit hört, haben viele andere interesse, deswegen, mail verkehr zb verschlüsseln, mit thunderbird, enicmail, und pgp sehr einfach möglich, wer machts, kaum einer.
außerdem geben wir zb seit jahren den usa zugriff auf finanztransaktionen ins nicht europäische ausland, also von eu in nicht eu staaten, und andere dinge, da krät kein hahn danach, aber einem trojaner der ne handvoll leute betrifft, da gibts dann so viel geschrei.
ich weis natürlich prinzipiell warum, aber ich denke dass es andere "austauschprogramme" gibt, über die man sich mehr sorgen machen könnte da mehr leute betroffen sind.
Geschrieben von: Voyager 12.10.2011, 19:34
Es geht ja auch weniger um diesen Trojaner , es geht hierbei ums Prinzip des offenen Verfassungsbruches des Staates . Sie durften nur bei Terrorverdächtigen "mithören" aber haben bei Wirtschaftskriminalität 60000 Bildschirmfotos gemacht, das sind 2 Verfassungsbrüche. Ganz davon zu schweigen das dieser Millionenaufwand gerichtlich nicht verwertbar war.
Geschrieben von: M.Richter 12.10.2011, 19:35
hier gehts ja wie gesagt um signaturen und es wurde kein programm mit vernünftiger verhaltensanalyse getestet.
auch die aufregung das einige hersteller erst n paar tage später nachziehen verstehe ich nicht, sie sollen doch lieber malware einbauen von der die menschen auch wirklich betroffen sind, wird ja wohl kaum passieren das die dropper und bestandteile des trojaners die jetzt so rumm fliegen im netz noch mal verwendet werden.
auch verstehe ich einen großen teil der aufregung sowieso nicht.
es sollte doch jedem klar sein, selbst wenn der deutsche staat nicht mit hört, haben viele andere interesse, deswegen, mail verkehr zb verschlüsseln, mit thunderbird, enicmail, und pgp sehr einfach möglich, wer machts, kaum einer.
außerdem geben wir zb seit jahren den usa zugriff auf finanztransaktionen ins nicht europäische ausland, also von eu in nicht eu staaten, und andere dinge, da krät kein hahn danach, aber einem trojaner der ne handvoll leute betrifft, da gibts dann so viel geschrei.
ich weis natürlich prinzipiell warum, aber ich denke dass es andere "austauschprogramme" gibt, über die man sich mehr sorgen machen könnte da mehr leute betroffen sind.
ja, ich weiß markusg
ich wollte das nur posten, weil der "Herr Schmidt" sagte Verhaltensanalyse würde nicht greifen, aber ich hier schon ein paar Beiträge zuvor gelesen und gesehen habe wie die Mamutu Software greift. Ich mach mich auch nicht weiter verrückt ... bin aber gespannt was man die nächsten Tage noch so erfährt und veröffentlicht wird
ist doch interessant
Geschrieben von: markusg 12.10.2011, 19:57
ich hätte vllt n absatz rein machen sollen, hatte mich nur gewundert warum das nochmal zitiert wurde.
@voyager mir ist klar worum es im prinzip geht, ich wollte nur aufzeigen das es sicher heut zu tage probleme gibt, die wesendlich mehr menschen betreffen, sei es abgleich von flug oder finanzdaten usw. darüber regt sich schon lange keine breite öffendlichkeit mehr auf, bzw interessiert es die meisten nicht, wie man im falle der verschlüsselten mail komunikation sieht, die jeder mit 1 2 handgriffen leicht bewerkstelligen könnte wenn er denn nur wollte.
Geschrieben von: SLE 12.10.2011, 20:01
Wenn eine Sache noch nicht bei den Herstellern ist zur Analyse - wo soll denn da die Signaturerkennung herkommen? Auch die Sache mit ihrer geringfügigen Änderung DOS - DoS ist viel zu undifferenziert geschrieben. Herumreiten auf der Panik von Heise.
Geschrieben von: Voyager 12.10.2011, 20:08
Erstaunlich ist aber doch eines, die Ermittler oder Programmierer des Bundestrojaner hatten ihre "Samples" schon seit 2009 bei Virustotal gegengetestet , diese Samples landeten kurze Zeit später auf den Tischen der AV Firmen . Diese hätten da schon die Möglichkeit einer Analyse gehabt, die Möglichkeit einer Signaturerstellung gehabt und die Möglichkeit der öffentlichen Information gehabt.
Aber nichts ist passiert ! bis letzte Woche waren die Samples des CCC völlig signaturlos.
Kommt das keinem spanisch vor ? Man sollte doch mal Emsi oder Fsecure daraufhin ansprechen die so große Töne gespuckt haben mit den Samples in den Händen .
Geschrieben von: markusg 12.10.2011, 20:16
nein, nicht unbedingt.
ich habe zb manchmal samples aus 2010 oder 2009 gefunden die bei vt hochgeladen wurden, die hatten auch 2 jahre später nur unwesendlich mehr erkennungen.
du weist doch selbst was statistiken aussagen, 50000-70000 samples pro tag, davon wird natürlich nur nen bruchteil eingebaut.
Geschrieben von: M.Richter 12.10.2011, 20:17
Aber nichts ist passiert ! bis letzte Woche waren die Samples des CCC völlig signaturlos.
Kommt das keinem spanisch vor ? Man sollte doch mal Emsi oder Fsecure daraufhin ansprechen die so große Töne gespuckt haben mit den Samples in den Händen .
Verschwörung Verschwörung
... mich würde es aber echt mal interessieren!!! (Vorausgesetzt Emsi und Co hatten die Samples wirklich auch analysiert damals)
Geschrieben von: Voyager 12.10.2011, 20:25
@markusg
Da muss man eben systematisch vorgehen , nach einer Signaturerstellung den vorhandenen "Bestand" einmal durchscannen und was dann noch überbleibt weiterbearbeiten. Ausserdem gibt es auch automatisierte Systeme die das Sample auf Schadhaftigkeit hin untersuchen zb. camas.comodo.com oder Threatexpert, jeder große Laden wird da sicher sein eigenes System haben wo man die Dinger zu hundert pro Stunde maschinell prüfen kann .
Geschrieben von: markusg 12.10.2011, 20:28
aber warum sollte ich ein sample aus 2009 zb noch mal 2010 prüfen und einbauen das ist blödsinn.
jedes jahr steigen die zahlen der neu erstellten samples, da haben die bestimmt besseres zu tun als noch irgendwas aus 2009 einzubauen.
außerdem weis ich nicht ob alle hersteller wirklich so genaue analysen der samples vor nehmen wie man sie zb bei joebox etc sehen kann
Geschrieben von: Voyager 12.10.2011, 20:33
Das aber aber bringt uns nicht weiter, frag doch einfach mal deine Connections diese Frage
Geschrieben von: NETacc. 12.10.2011, 20:34
Das ist die bekannte Schattenseite von intelligenten Signaturen und Analysen anhand von Reputationen. Die Gleichung lautet dann eben oftmals : Wenig Verbreitung = keine Signatur.
Geschrieben von: markusg 12.10.2011, 20:41
warum sie das nicht einbauen?
na die werden mir die selbe antwort geben. wenn ich so höre das einige hersteller 1 tb pro woche an neuer malware bekommem werden sie sicher keine zeit haben irgendwas altes zu bearbeiten.
ja und wie mein vorredner grade auch angeschnitten hatt, spielt verbreitung bestimmt auch ne rolle
Geschrieben von: markusg 12.10.2011, 20:49
auch schön
http://winfuture.de/news,65991.html
Geschrieben von: Voyager 12.10.2011, 21:58
Wird nicht lange dauern dann ist die Webpräsenz defaced und es prangert dort nurso von Stasi und Virenbildern
Geschrieben von: Schattenfang 13.10.2011, 13:45
weiter geht´s in den niederlanden:
https://secure.security.nl/artikel/38803/1/Nederlandse_politie_kocht_Duitse_spionagesoftware.html
Digitask hat wohl ordentlich exportiert. Und dann ist so ein Larifari-Ding entstanden..LOL
Geschrieben von: Rios 13.10.2011, 15:36
Hallo und Servus,
also bis da einer etwas gemerkt hätte, wäre das Ding schon in Aktion getreten.
http://www.heise.de/security/meldung/Antiviren-Software-versagt-beim-Staatstrojaner-1359833.html
Geschrieben von: Catweazle 13.10.2011, 21:03
also bis da einer etwas gemerkt hätte, wäre das Ding schon in Aktion getreten.
http://www.heise.de/security/meldung/Antiviren-Software-versagt-beim-Staatstrojaner-1359833.html
Hatte ich das nicht in Posting #100 aufgezeigt ?
Catweazle
Geschrieben von: Schattenfang 14.10.2011, 16:25
So könnte eine Virenwarnmeldung aussehen:
http://www.spassfieber.de/funpics/bundestrojaner-gefunden.jpg
Geschrieben von: citro 14.10.2011, 17:28
Im SemperVideo beschreibt er weiter die Vorgehensweise der 2 Dateien
http://www.youtube.com/watch?v=XVD7TVrJcb0&feature=channel_video_title
Geschrieben von: Voyager 14.10.2011, 21:49
Ich bin jetzt so eingeschüchtern von der Thematik das ich Norton Antibot wieder draufgemacht hab auf Win7/64
Geschrieben von: florian5248 14.10.2011, 21:55
Das ist der Hammer, das Antibot noch auf Nis2012 funzt.
Eingeschüchtert hin oder her, du weist schon was du machst. Werde es bald mal auf einem Testrechner probieren. Schauma ma
Geschrieben von: Voyager 14.10.2011, 22:12
Das Antibot hat sogar schon reagiert und Proxomitron.exe Werbefilter von der Platte gefegt , lässt sich aber mit 1 Klick wiederherstellen und dann auf Zulassen gehen.
Unter Windows7 muss man für derartige Useraktionen in der Programmoberfläche aber kurzzeitig das Oberflächenprogramm im Taskmanager kicken und dann als Administrator starten, nach beenden der Ausnahmeaktion kann man das wieder normal starten lassen, löschen tut Antibot als Service.
Und installieren geht nur mit Kompatibilitätsmodus.
Geschrieben von: florian5248 14.10.2011, 22:15
Da jut, dann werde ich morgen mal suchen, Antibot, aber stimmt, hat manches in der Vergangenheit geputzt, wo andere keinen Plan hatten.
Geschrieben von: citro 16.10.2011, 09:44
Ich find's einfach interessant, deswegen verlinke ich gleich das nächste SemperVideo darüber
http://www.youtube.com/watch?v=wlDnKA7SCJo&feature=channel_video_title
Geschrieben von: Solution-Design 16.10.2011, 14:09
Denk, du hast Sonar?
Geschrieben von: Hexo 16.10.2011, 14:24
Staatstrojaner kam häufiger zum Einsatz als gedacht
http://winfuture.de/news,66050.html
Geschrieben von: Voyager 16.10.2011, 14:34
Apropo Bundestrojaner , der ist soeben auf der virtuellen Maschine in einem Systemwiederherstellungspunkt vom 30.9.2011 aufgetaucht und vom AV erkannt worden.
Und Nein , am 30.9. gabs den Installer noch nicht und Nein ich speichere das virtuelle XP grundsätzlich nicht nach Virentests, die Installation wird nur übernommen nach Software-Updates.
Jemand eine Idee wie der dort hin kommt ?
http://www.abload.de/image.php?img=1iekw.jpg
http://www.abload.de/img/1iekw.jpg
In dem Wiederherstellungspunkt finden sich nur übliche Softwareupdates wie Firefox ect.
Achja, in der VM ist kein Bundestrojaner aktiv , der Fund ist nur im Systemrestore.
Geschrieben von: Catweazle 16.10.2011, 15:08
Und Nein , am 30.9. gabs den Installer noch nicht und Nein ich speichere das virtuelle XP grundsätzlich nicht nach Virentests, die Installation wird nur übernommen nach Software-Updates.
Jemand eine Idee wie der dort hin kommt ?
http://www.abload.de/image.php?img=1iekw.jpg
http://www.abload.de/img/1iekw.jpg
In dem Wiederherstellungspunkt finden sich nur übliche Softwareupdates wie Firefox ect.
Achja, in der VM ist kein Bundestrojaner aktiv , der Fund ist nur im Systemrestore.
Klar doch, da hat sich der Staat, aus welchen gründen auch immer für dich intressiert. Also bist du in die fahndung gekommen, wen dein szenaio den stimmen tut.
Catweazle
Geschrieben von: Voyager 16.10.2011, 15:44
Du hast wohl recht, ich hab das Bild selbst gemalt ...oder noch besser , das Bild existiert garnicht in meinem Post , jeder der dort ein eingebetteten Screenshot sieht der ist ein unverschämter Lügner , Nur Catwazle hat recht...
Geschrieben von: Solution-Design 16.10.2011, 15:54
@Jens
Starte doch mal die Systemwiederherstellung der VM. Falls die Reste jetzt nicht beseitigt wurden und die SWH nicht dadurch unbrauchbar wurde.
Hast meine AntiBot-Frage nicht beantwortet. Immer noch mein Lieblingsprogramm. Informativ, funktioniert (zwar nicht bei jeder Malware) und ist absolut DAU-sicher. So muss eine Verhaltensüberwachung auschaun!
Onwohl ich EAM-Fan bin, mit den Meldungen ist ein Nur-Anwender überfordert. Auch wenn es nur Infos sind, das alles will er ja gar nicht wissen. Zumindest nicht die paar dutzende Leutz, die ich so kenne.
Geschrieben von: Voyager 16.10.2011, 16:07
Ich war nur neugierig ob das Antibot jetzt auf W7/64 noch lauffähig ist
Das mit der Systemwiederherstellung hatte ich grade gemacht , danach funktioniert der Firefox und Norton zwar nichtmehr aber im System32 taucht auch kein Bundestrojaner auf und als "Nicht PNP Gerät" taucht Winsys32 auch nicht auf, wäre ja auch zu schön Mittlerweile hab ich aber rausgefunden das es diesselben Samples vom CCC sind laut Virustotal. Ich muss am 9.10. am dem Weekend wohl was installiert haben in der VM und muss zum selben Zeitpunkt beide CCC Dateien mit Norton unter XP gegengescannt haben und anschliessend die Dateien gelöscht und die VM-Updates übernommen, dadurch sind die Dateien irgendwie in das SystemRestore gelandet. Normalerweise verwerfe ich die VM wenn ich dort ein einzigen Virus teste.
Geschrieben von: Catweazle 16.10.2011, 18:35
Entschuldigung, das ich dich an dein Schienbein getreten habe, das wollte ich nicht. Das lag mir fern.
erklähre dich doch selbst, wie es dazu gekommen ist ..?!
Catweazle
Geschrieben von: markusg 16.10.2011, 18:43
die erklärung steht da schon lange, 2 stunden befor du deinen post verfasst hast :p
Geschrieben von: Catweazle 16.10.2011, 18:48
Ja mag sein, also hatte er diesen Bundes Trojaner, Bayern Trojaner oder den "Schleswig Trojaner" doch schon drauf, dieses Board, bzw. die User werden immer komischer, ich schätzte dieses Board, und auch gewisse User wie auch Voyager, usw..
Catweazle
Geschrieben von: RS1 17.10.2011, 20:09
Auch in der Schweiz kamm er zum Einsatz:
http://www.tagesschau.sf.tv/Nachrichten/Archiv/2011/10/13/Schweiz/Schweizer-Behoerde-bestaetigt-Verwendung-von-Trojanern
http://www.20min.ch/news/schweiz/story/25233283
Geschrieben von: Rios 17.10.2011, 20:17
Ja wir sind vom Bundestrojaner fast schon umzingelt! Österreich??
http://derstandard.at/1317020016194/Bundestrojaner-auch-nach-Oesterreich-verkauft
Geschrieben von: Voyager 18.10.2011, 00:52
Erst die Terroristen dann die Drogenhändler dann die Wirtschaftskriminellen und dann die Oppositionellen und dann ? Genau das ist die Frage wie weit derjenige bereit ist zu gehen um seine Macht zu halten solche Dinge einzusetzen wo Beweismittelfälschung ein leichtes Spiel wäre und man nie nachweisen könnte.
Geschrieben von: citro 18.10.2011, 17:51
Kaspersky hat den nächsten BT entdeckt.
http://www.heise.de/security/meldung/Kaspersky-entdeckt-neue-Staatstrojaner-Version-1363051.html
Geschrieben von: drei-finger-joe 18.10.2011, 17:52
Damit die 64 Bit User sich nicht mehr vernachlässigt fühlen müssen:
http://www.heise.de/security/meldung/Kaspersky-entdeckt-neue-Staatstrojaner-Version-1363051.html
EDIT: Nat gut, warst schneller.
Geschrieben von: markusg 18.10.2011, 19:49
glaub nicht das kaspersky den entdeckt hatt, dass müsste das sample sein was voyager schon hatt.
Geschrieben von: Voyager 18.10.2011, 21:24
Nein , das ist ein neues Sample was Kaspersky analysiert hat , sieht man schon an der Latte der zu belauschenden Prozesse und das Teil ist 64bittig mit gefälschtem Zertifikat.
Ich freu mich schon auf morgen wenn die Meldung die Runde macht und unsere Politiker nurnoch am Stottern sind weil die Ausreden nichtmehr ziehen.
edit: von mir aus kann der neue Bursche kommen, ich hab jetzt Antibot drauf
Geschrieben von: Hexo 18.10.2011, 22:12
MIch würde es halt mal interessieren, wie sich die Verhaltenblocker gegen diese Bots schlagen. So wie es aussieht, haben die "großen" ja versagt aber was ist mit den kleinen Anbietern? Besonders EMSI interessiert mich. Ich weiß, es gab für das "alte" Sample von letzter Woche schon einen Emsi test, aber was ist jetzt z.b. hier mit dem neuen? Wäre der Bot von EAM erkannt worden?
Geschrieben von: Voyager 19.10.2011, 00:18
Ein Klasse Statement der FAZ
http://www.faz.net/aktuell/staatstrojaner-hauptsache-wir-koennen-ueberwachen-11496473.html
Aus den TV Medien scheint man das Thema verbannt zu haben aber die Printmedien scheinen nach der Causa Guttenberg doch ihre Aufgaben der vierten Gewalt im Staat etwas ernster zu nehmen.
Geschrieben von: SLE 19.10.2011, 08:39
Wo denn? Verhaltensbasiert?
Geschrieben von: Hexo 19.10.2011, 09:45
So wie ich es verstanden habe, ja. Er wurde ja schon einige mal Eingesetzt und anscheinend ist er ja nicht erkannt worden. Egal ob Signatur, Heuritik oder Verhaltensbasierend.
Geschrieben von: markusg 19.10.2011, 11:41
@Hexo
überleg doch mal wie er eingesetzt wurde, die leute hatten physischen zugriff auf das system, dann kann man natürlich jede meldung umgehen.
und die tests die heise gemacht hat, kannst auch vergessen, 4 programme, wo einige nicht besonders gut in verhaltensanalyse sind, dann rückschlüsse gezogen
Geschrieben von: Hexo 19.10.2011, 11:57
Also ich kenn nur den einen Fall mit dem Zoll wo physischen zugriff auf das System genommen worden ist...
Geschrieben von: Voyager 19.10.2011, 12:10
Die werden sich bei 100 Einsätzen bestimmt auch an anderer Stelle physischen Zugang beschafft haben.
Geschrieben von: Voyager 19.10.2011, 12:58
http://blog.wawzyniak.de/?p=3697
die käufer des bundestrojaner hatten laut innenausschuss keine informationen zum quellcode... das heisst sie hatten alle die Katze im Sack gekauft und haben uns seit 1 Woche alle belogen wenn irgend ein Minister behauptet hatte die Trojaner waren gesetzeskonform.
Geschrieben von: Chaos64 19.10.2011, 18:31
http://www.my-archicrypt.de/tutorials?sCoreId=2tuu07bmsvo67ul83kpa7293j2 jetzt auch vorsichtshalber für 64bit Systeme
Geschrieben von: Rios 19.10.2011, 19:31
Servus,
also bei Vtt werden die so schnell keinen mehr hochladen.
http://www.tagesschau.de/inland/staatstrojanerzwei102.html
Geschrieben von: markusg 20.10.2011, 13:35
http://www.presseportal.de/pm/51005/2133030/computerbild-berichtet-virenschutz-hersteller-half-beim-ausspionieren-per-bundestrojaner
Geschrieben von: Schattenfang 20.10.2011, 13:39
Und dreimal darf man raten, welches Unternehmen das war
Geschrieben von: markusg 20.10.2011, 13:45
grad gesehen das es nen zweiten thread gibt, warum auch immer, deswegen sag ichs hier noch mal, ich halte das für unglaubwürdig, crypter gibts wie sand am meer, warum sollte ich mit ner av firma zusammenarbeiten wenn ich den trojaner gefahrlos stealth bekomme?
Geschrieben von: flexibel44 20.10.2011, 13:58
Wer? Ich habe nicht mal eine Vermutung. Stimmt die Meldung und wird der Name bekannt, haben die bestimmt ein größeres Problem.
Geschrieben von: KasperskyFreaky 20.10.2011, 15:48
Nehmen wir mal an die Vermutung stimmt , dann denke ich es war ein AV-Hersteller aus Deutschland. Da gibt es eigentlich nur zwei und zwar http://www.gdata.de/ und http://www.avira.com/de/index.
Gruß
Geschrieben von: Voyager 20.10.2011, 16:36
Es stand nichts von einer deutschen Firma da, das könnte genausogut Symantec oder Mcafee gewesen sein.
Ich hoffe aber trotzdem das es rauskommt und die Bude sich vor der Öffentlichkeit verantworten muss, laut Computerblöd hatten Sie das Sample in der Hand und hätten innerhalb kürzester Zeit erkennen können das der Trojaner nicht mit dem deutschen Gesetz vereinbar ist. So wäre auch hier der rechtliche Vorwurf der Computersabotage zu machen und dem Verstoss gegen Verfassungsauflagen.
Digitask wird verklagt
https://www.wavecon.de/blog/2011/10/20/wavecon-gmbh-mahnt-digitask-gmbh-ab
Geschrieben von: Clap 20.10.2011, 16:55
sauber
Geschrieben von: KasperskyFreaky 20.10.2011, 17:17
Klar - jedoch hab ich auch nie behauptet, dass im Text steht, dass ein Deutscher AV - Hersteller mitgeholfen hat.
Gruß
Geschrieben von: Habakuck 20.10.2011, 17:22
Weil das runtime nicht so ganz einfach ist..
Grade wenn wir über Verhaltensbasierten Schutz oder Reputationbewertungen sprechen..
Geschrieben von: Schattenfang 20.10.2011, 17:55
Staatstrojaner: Anonymous hackt Webseite von Abgeordnetem Hans-Peter Uhl
http://www.golem.de/1110/87193.html
Geschrieben von: Rios 21.10.2011, 18:32
Guten Abend,
hier ein nettes Video vom CCC, zum Staatstrojaner.
http://video.golem.de/internet/6153/datenspur-2011-vortrag-ueber-den-bundestrojaner.html
Geschrieben von: Solution-Design 21.10.2011, 19:59
Lese ja nur ein bissel mit und frage mich wirklich, wie krank ist unser Staat unsere Führung http://www.golem.de/1110/87179.html
Geschrieben von: Voyager 21.10.2011, 20:05
Das Video ist aber schon paar Tage her , mittlerweile kam ja noch der 64bit Trojaner mit dem illegalen Zertifikat und der unmoralische AV Vendor der für Trojansierungsaktionen auch noch die Tür aufhält.
Die Piraten haben aber wirklich schon bissl Mist gebaut , das Topic hat Potential für mind. 20% UmfrageTrend für die Piraten wenn man denn richtig medienwirksame Politikarbeit leistet. Die Anklage gegen Herrman hat dann doch nur für 10% gereicht bei der Sonntagsumfrage.
Geschrieben von: markusg 22.10.2011, 13:11
dir ist schon klar, dass die wahl erst in 2 jahren ist?
da ist das thema schon längst gegessen.
sieht man doch jetzt an den grünen, atompolitik hatt im märz jeden interessiert, grünen 20 und mehr %, jetzt noch 16.
nachdem das interesse am unglück in japan nachgelassen hatt, und atom politik ein wenig aus dem öffendlichem bewusstsein geraten ist.
es ist in ordnung das sich die piraten nicht nur auf den bundestrojaner stürtzen, denke es gibt noch genügend andere themen wo sie sich positionieren sollten.
Geschrieben von: BlackDevil 22.10.2011, 21:45
Ich verstehe die Aufregung nicht. In den anderen Ländern wie USA, Russland, Israel gibt es schon lange Kompetenz-Abteilungen die sich mit dem Netz beschäftigen, und für den Staat schnüffeln im Inn und Ausland. Darüber hinaus ist es auch kein Geheimnis dass auch externe Firmen wie z.b Microsoft oder Symantec sehr eng mit dem US Staat zusammenarbeiten, oder auch SafenSoft mit dem Russ. Militär. Deswegen ist es nur logisch das DE auch ein eigenes Kompetenz-Zentrum und auch externe fachliche Hilfe brauch um auch ein wenig unabhängiger zu sein. Das die Bundesregierung sowie auch das BKA behaupten sie hatten keine Kenntnisse über den Quellcode ist aber unglaubwürdig. 
Auch die Diskussion das der Bundestrojaner schlampig Programmiert war ist in meinen Augen Humbug. Warum meinen einige das? Weil er mehr konnte wie er laut Gesetz darf? Oder weil er 3 Jahre im Netz unentdeckt blieb, mehr oder weniger?
Sich zu Schützen beim gezieltem Angriff ist aber sowieso fast unmöglich!
Geschrieben von: Scrapie 22.10.2011, 22:05
Weil er:
- seinen Datenverkehr nicht verschlüsselt,
- weil er seinen Steuerungsverkehr unzureichend verschlüsselt,
- weil jeder ManInTheMiddle spielen kann,
- weil er feste IP's und Keys unverschl. hardcoded hat und
- weil er über einen Server in einem Nicht-EU-Land funkt,
um nur mal ein paar Punkte zu nennen.
Jeder IT-Student wäre mit der Leistung noch nicht mal in die Nähe eines Scheins gekommen...
Scrapie
Geschrieben von: Voyager 22.10.2011, 22:20
Deutschland könnte ein Kompetenzzentrum haben , aber ganz sicher nicht mit dieser Regierung ! Mit dieser Regierung wollen die klügsten Köpfe offensichtlich nichts zu tun haben , Schäuble Herrmann und Co. sind da offensichtlich nur auf die dritte Wahl angewiesen die für einen Scriptkiddy Trojaner auch noch Millionen haben wollen und unserer Regierung alles Mögliche andrehen aber keine Software die sich an Gesetze hält.
Geschrieben von: BlackDevil 23.10.2011, 17:04
- seinen Datenverkehr nicht verschlüsselt,
- weil er seinen Steuerungsverkehr unzureichend verschlüsselt,
- weil jeder ManInTheMiddle spielen kann,
- weil er feste IP's und Keys unverschl. hardcoded hat und
- weil er über einen Server in einem Nicht-EU-Land funkt,
um nur mal ein paar Punkte zu nennen.
Alles richtig, gilt aber nur für den ersten, den CCC analysiert hatte, oder? Soweit ich richtig informiert bin wurden doch verschiedene Trojaner eingesetzt über die Jahre?!
Der ganz große Wurf ist er nicht, korrekt. Aber so übertreiben würde ich auch nicht, zumindest nicht beim http://www.securelist.com/en/blog/208193167/Federal_Trojan_s_got_a_Big_Brother
Geschrieben von: SLE 23.10.2011, 17:09
Naja...Millionen investieren und nix für ein gescheites Zertifikat übrig haben
Und Fakt ist, dass unsichere, schlampige Varianten - die mehr konnten als sie durften - eingesetzt wurden. Und das ist das Problem.
Geschrieben von: Solution-Design 23.10.2011, 17:21
Zumindest ist google chrome unbekannt
Geschrieben von: J4U 23.10.2011, 18:33
J4U
Geschrieben von: SLE 23.10.2011, 19:11
Na bitte doch nichts aus dem Zusammenhang reißen. Es ging ja in erster Linie mal um das Ding was der CCC in der Zerre hat und um welches sich die mediale Aufmerksamkeit dreht. Und da sehe ich die Schwachstellen eben kritisch - da das Ding eingesetzt wurde. Da hilft der Verweis auf neuere Varianten nicht.
Zur von dir gemeinten generellen Existenzberechtigung von Staatstrojanern: Anderes Thema.
Klar kann/sollte man generell dagegen sein, aber der Punkt ist nunmal das entsprechende rechtliche Rahmenlinien leider beschlossen wurden. Find ichs toll - nö, aber ist so. Sicher gibt es immer Argumente pro und kontra.
Nur wenn sich der Gesetzgeber dann nichtmal an diese Richtlinien hält setzt das eben dem Ganzen doch klar die Krone auf.
Geschrieben von: Solution-Design 23.10.2011, 19:18
In ein zwei Wochen erinnert sich keine Sau mehr daran. OK, wir noch... Minderheit.
Geschrieben von: achtsam 01 27.10.2011, 14:07
http://www.zdnet.de/magazin/41557418/koennen-antivirenprogramme-staatstrojaner-finden.htm
Sehr aufschlussreich, finde ich.
Geschrieben von: Schattenfang 27.10.2011, 14:28
Ich finde eher einseitig. Hier wird nur über Reputation und Signatur gesprochen. Von professionellen VBs nicht, von HIPS auch nicht.
Geschrieben von: achtsam 01 27.10.2011, 14:45
Du bist also der Auffassung, dass HIPS oder (und) ein Verhaltensblocker in der Lage sind, einen Bundes(Länder- oder wie auch immer) Trojaner aufzuspüren? Das glaube ich nicht.
Geschrieben von: Schattenfang 27.10.2011, 15:02
Klar, Mamutu war in der Lage, das Verhalten des aktuellen Trojaners mehrfach zu dokumentieren und hat somit mehrfach die Möglichkeit zur Intervention gegeben. HIPSe können das sowieso, wie soll denn so ein Teil an diesen Dingern vorbeigehen?
Geschrieben von: achtsam 01 27.10.2011, 15:12
Ich kann mich nicht erinnern, dass ein AntiVir-Hersteller expliziert zum Ausrduck gebracht hat, dass sein System diesen Trojaner erkannt hätte. Es wurden, so weit ich gelesen habe, Erklärungen in der Öffentlichkeit verbreitet, dass eingepflegt worden ist - und dass man ab jetzt... erkennt.
Sonst hätte man doch keine langatmigen Erklärungen über Pressemitteilungen, teils schwammig ausgedrückt, abgeben müssen.
Es hätte genügt zu sagen: O.K., Freunde unserer Software, bei uns seid Ihr alle absolut sicher. Das hat keiner gemacht, oder die Pressesprecher wissen nicht, wie ihr Job läuft.
Geschrieben von: Schattenfang 27.10.2011, 15:19
Naja, die Massenprogramme wie Avast, AVG, Avira, Eset, McAfee und Co erkennen solche Dinger auch nicht. Die haben weder einen professionellen VB noch ein HIPS an Board.
Dass Mamutu in der Lage war, sein Verhalten aufzuspüren, kann man hier im Thread nachlesen. Für professionelle Angriffe braucht man halt auch professionelle Tools und nicht 0815-Programme, wie oben aufgeführt. Noch sicherer ist man mit HIPS. Vorausgesetzt man kennt sich damit gut aus. Für Normaluser gibt es kaum eine Möglichkeit, sich vor Staatstrojanern zu schützen.
Geschrieben von: KasperskyFreaky 27.10.2011, 15:30
ESET hat HIPS
Doch, mit Linux.
Gruß
Geschrieben von: Schattenfang 27.10.2011, 15:34
Der war gut
Stimmt, das hatte ich vergessen. Außer, es kommen lange keine Updates mehr
Geschrieben von: achtsam 01 27.10.2011, 15:46
Dass Mamutu in der Lage war, sein Verhalten aufzuspüren, kann man hier im Thread nachlesen. Für professionelle Angriffe braucht man halt auch professionelle Tools und nicht 0815-Programme, wie oben aufgeführt. Noch sicherer ist man mit HIPS. Vorausgesetzt man kennt sich damit gut aus. Für Normaluser gibt es kaum eine Möglichkeit, sich vor Staatstrojanern zu schützen.
Also, ich habe mir die Threads nochmals angeschaut: Von Antibot ist die Rede, seltsamerweise - war ein klasse Tool. Ich habe mir auch die Presserklärung von Emsisoft nochmals zu Gemüte geführt: Wie gesagt, eine aussagekräftige Presserklärung sieht für mich anders aus.
Mit dem Rest 08/15 gebe ich recht. Aber auch Presseerklärungen können 08/15 sein. Ok. leben wir damit.
Geschrieben von: Schattenfang 27.10.2011, 15:52
Hier die Erkennung von Mamutu: http://www.rokop-security.de/index.php?s=&showtopic=21592&view=findpost&p=343891
Habs grad nochmal rausgesucht.
Ja, Programme wie z.B. AntiBot können solche Aktivitäten auch feststellen. Ich bezweifle aber, dass die kleinen VB von anderen Programmen sowas können. AntiBot kommt genauso wie Mamutu von Spezialisten auf dem Gebiet.
Geschrieben von: KasperskyFreaky 27.10.2011, 15:57
Es ist mir schon bewusst dass das "HIPS" von ESET nicht zu den besten gehört, jedoch ging es in meinen Beitrag auch nicht drum wie gut / schlecht das Teil ist .
Gruß
Geschrieben von: achtsam 01 27.10.2011, 16:12
Habs grad nochmal rausgesucht.
Ja, Programme wie z.B. AntiBot können solche Aktivitäten auch feststellen. Ich bezweifle aber, dass die kleinen VB von anderen Programmen sowas können. AntiBot kommt genauso wie Mamutu von Spezialisten auf dem Gebiet.
Ganz herzlichen Dank @schattenfang. Habe ich übersehen. Danke. Ich zitiere in diesem Thread Fabian Moser: Zitat-Anfang: ...Danke - ... das Resultat wird bei anderen Produkten nicht anders ein... Zitat-Ende. Äh, interessant. In der Presseerklärung, sinngemäss, nachlesbar: Wir haben analysiert... und eine gute Nachricht, Mamutu etc. blockieren.. Ab wann: Nach der Analyse oder vor der Analyse? Wie gesagt, eine Presseerklärung, standfest, sollte anders formuliert sein. Das ist meine persönliche Meinung weiterhin. Nix ist klar.
Geschrieben von: ChP 27.10.2011, 16:24
Halllo,
natürlich vor der Analyse, da sich die Analyse auf die Erstellung einer Signatur bzw. generell auf den Aufbau dieses Schädling bezieht.
Das potentiell schädliche Verhalten ansich wird bei einer versuchten Infektion erkannt und von Mamutu oder EAM gemeldet.
Geschrieben von: achtsam 01 27.10.2011, 16:39
natürlich vor der Analyse, da sich die Analyse auf die Erstellung einer Signatur bzw. generell auf den Aufbau dieses Schädling bezieht.
Das potentiell schädliche Verhalten ansich wird bei einer versuchten Infektion erkannt und von Mamutu oder EAM gemeldet.
OK. Das nehme ich mal zur Kenntnis. Ich finde nur sehr bedauerlich, dass bei einem so sensiblen Thema, Presseerklärungen sich definitiv nicht aus sich selbst erklären. Sagt doch einfach, unsere Erklärung, Freunde, ist die, vor einer programmtechnischen Analyse unseres Softwarehauses (Notar eingebunden), haben wir den Trojaner durch unsere hauseigene Software gejagt. Und Freunde, die gute Nachricht: Wir erkennen. Danach haben wir eine Analyse intern getätigt.
Der Glaube muss jetzt Berge versetzen.
Geschrieben von: Scrapie 28.10.2011, 06:55
Auch auf die Gefahr hin, ne Verwarnung zu kriegen oder gesperrt zu werden:
Was für eine Tüpfle***rei von manchen Leuten - korrigiere mich: von einer Person - hier abgelassen wird, tut schon fast physisch weh.
Scrapie
Geschrieben von: florian5248 28.10.2011, 08:26
Was für eine Tüpfle***rei von manchen Leuten - korrigiere mich: von einer Person - hier abgelassen wird, tut schon fast physisch weh.
Scrapie
Jopp, ist leider schon sowas wie Verfolgungsw** Egal momentan scheint das hier ein Zeitgeist zu sein.
Geschrieben von: achtsam 01 28.10.2011, 17:25
Ich wuerde an Deiner Stelle etwas vorsichtig sein, was Meinungsbildung betrifft. Hier ist keiner vom Vefolgungswahn betroffen, und ich hoffe, dass Dein geschichtliches Gesellschaftsbild, nicht mit dem zusammenhängt, was ich permanent in den ICE,s betrachten muss, die IJünger, die immer wirres Zeug schreiben. (ich weiss, was wieder passieren wird) Mein Ausgangsthread, über den sich viele aufgeregt haben, hängt eng mit freiheitlichen Rechten eines Bürgers zusammen. Das Thema der Ausforschung eines demokratischen Bürgsrs und die Ohnmacht der AntiVir-Hersteller (vor allem, wenn man die Pressemitteilungen genau liest) sind für mich ein sensibles und ernstes Thema. Da muss man nicht die Lächerliche Zone in Threads aufmachen.
So long.
Geschrieben von: wizard 28.10.2011, 18:42
Sachlich bleiben.
wizard
Geschrieben von: achtsam 01 28.10.2011, 18:47
wizard
OK. Akzeptiert. Aber warum wurde gelöscht?
Geschrieben von: markusg 28.10.2011, 19:00
dein post ist verewigt im thread oftopic
http://www.rokop-security.de/index.php?showtopic=16508&pid=345261&st=680&#entry345261
ich nehme mal an weil deine antwort nicht mal Stammtischniveau hatte...
Geschrieben von: achtsam 01 28.10.2011, 19:39
http://www.rokop-security.de/index.php?showtopic=16508&pid=345261&st=680&#entry345261
ich nehme mal an weil deine antwort nicht mal Stammtischniveau hatte...
Ich habe keine Lust auf diesen Thread.
Aber, ich werde das mir merken.
Geschrieben von: achtsam 01 28.10.2011, 19:48
http://www.rokop-security.de/index.php?showtopic=16508&pid=345261&st=680&#entry345261
ich nehme mal an weil deine antwort nicht mal Stammtischniveau hatte...
O, (ohne h), Schmudel_Ecke. Vielen Dank.
Geschrieben von: Voyager 31.10.2011, 23:21
Nach dem Bundestrojaner kommt jetzt der "Schultrojaner".
http://www.heise.de/newsticker/meldung/Geplanter-Schultrojaner-sorgt-fuer-Wirbel-1369193.html
Und mir ging heute noch durch den Kopf ob GEMA und GVU mittlerweile auch schon bei Digitask eingekauft haben , verwundern würde mich das nicht . Man könnte so die Verbrechen von Peer to Peer Usern viel schneller aufklären mit 60000 Bildschirmfotos
Geschrieben von: FreeBSDler 31.10.2011, 23:39
Mich würde momentan dringend und vorrangig nur interessieren welcher AV-Software Hersteller denn nun kooperiert bzw. mit denen gemeinsame Sache macht ?
Ist das nun endlich ergründet, bewiesen, bzw. steht fest ?
Geschrieben von: achtsam 01 02.11.2011, 23:21
Ist das nun endlich ergründet, bewiesen, bzw. steht fest ?
Ich bin der Auffassung, nach bisher hitzigen Diskussionen: Nix wird herauskommen. Niemand weiss, wer mit jemanden gemeinsame Sache macht. Da gab es vor kurzem ja das Gerücht, dass ein Mitarbeiter einer Security-Firma ausgeplaudert haben soll, dass diese ein Abkommen, angeblich, mit einer staatlichen Behörde eingegangen ist. Ich persönlich halte davon garnix. Auch DesInformationen gehören zum Geschäft. Na ja...
Geschrieben von: achtsam 01 02.11.2011, 23:22
http://www.heise.de/newsticker/meldung/Geplanter-Schultrojaner-sorgt-fuer-Wirbel-1369193.html
Und mir ging heute noch durch den Kopf ob GEMA und GVU mittlerweile auch schon bei Digitask eingekauft haben , verwundern würde mich das nicht . Man könnte so die Verbrechen von Peer to Peer Usern viel schneller aufklären mit 60000 Bildschirmfotos
Das macht alles schon sehr nachdenklich.
Geschrieben von: achtsam 01 03.11.2011, 01:11
http://www.heise.de/newsticker/meldung/Geplanter-Schultrojaner-sorgt-fuer-Wirbel-1369193.html
Und mir ging heute noch durch den Kopf ob GEMA und GVU mittlerweile auch schon bei Digitask eingekauft haben , verwundern würde mich das nicht . Man könnte so die Verbrechen von Peer to Peer Usern viel schneller aufklären mit 60000 Bildschirmfotos
Ich habe nochmal nachgedacht: DigiTask und Anwälte. Man sollte über die Anwälte der Firma DigiTask nachdenken.
Geschrieben von: J4U 03.11.2011, 11:46
Supi!
Tu das! Aber bitte mit dem Kopf und nicht mit der Tastatur :-)
J4U
Geschrieben von: Hexo 14.11.2011, 12:17
Und weiter geht es:
Staatstrojaner-Einsatz international koordiniert
http://winfuture.de/news,66573.html
Kam mitlerweile eigentlich schon zum Vorschein, welcher Deutsche Anbieter von Sicherheitslösungen bei dem einen Vorfall geholfen hat?
Geschrieben von: markusg 14.11.2011, 13:28
war es überhaupt ein deutscher hersteller.
in manchen mledungen hieß es einfach nur "ein hersteller"
Geschrieben von: Hexo 14.11.2011, 14:59
Sagen wir mal so:
Welche Anbieter wars denn?
Lassen wir mal die Nationalität ausen vor.
Geschrieben von: SLE 14.11.2011, 15:14
Welche Anbieter wars denn?
Man weiß nichts, außer der spekulativen und fragwürdigen CB Meldung gab es nichts dazu. Und darin war nur von einem deutschen Mitarbeiter die Rede...schon wird die Spekulation überdreht und 2 deutsche Firmen werden verdächtigt...
Geschrieben von: markusg 14.11.2011, 15:51
hatt den jemand den original artikel gelesen aus der cb?
denn in den pressemeldungen war nicht immer von einem deutschen anbieter die rede, bei einigen hieß es nur ein anbieter.
hab aber den orginal artikel nicht gelesen den es in der zeitschrift geben sollte
Geschrieben von: Solution-Design 14.11.2011, 22:36
Deutsch? Wo?
http://www.computerbild.de/artikel/cb-News-Virenschutz-Hersteller-half-beim-Bundestrojaner-6528885.html
Geschrieben von: Clinton 22.11.2011, 12:38
Firma will Späh-Software per iTunes installieren
Quelle: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,798891,00.html
Geschrieben von: markusg 22.11.2011, 16:11
jo wer die neueste itunes software nutzt dem sollte da keine gefahr mehr drohen.
Geschrieben von: martinh 15.08.2012, 21:38
Der Thread ist zwar schon etwas älter, aber ich habe zu Mamutu und dem Bundestrojaner eine Frage, vielleicht kann mir der gute Mensch von Emsisoft das beantworten. Mamutu hätte ja den Bundestrojaner erkannt. Welche Alarmeinstellungen waren dabei eingestellt? Auch der "Paranoid Modus"?
Denke das Resultat wird bei anderen Produkten nicht anders sein.
Geschrieben von: ChP 15.08.2012, 22:30
Hallo,
in diesem Fall reichten die Standardeinstellungen. Der Paranoid-Modus war nicht aktiviert.
Erklärung zum Paranoid-Modus:
Geschrieben von: Kenshiro 17.01.2013, 08:28
Moin,
http://www.golem.de/news/finfisher-finspy-bundeskriminalamt-kauft-staatstrojaner-von-gamma-1301-96965.html
Geschrieben von: J4U 17.01.2013, 14:44
Ich frage mich, wo Angela Dorothea das gelernt hat. Bei den Jungionieren, bei den Thälmann-Pionieren, bei der FDJ, an der Erweiterten Oberschule (EOS) "Hermann Matern" in Templin, an der Karl-Marx-Universität in Leipzig, am Zentralinstitut für Physikalische Chemie der Akademie der Wissenschaften der DDR...
Macht was Ihr wollt, aber nach meinem persönlichen Eindruck heißt die DDR jetzt BRD und Moskau ist in Brüssel.
J4U
Geschrieben von: Fabian Wosar 17.01.2013, 15:05
Weil Frau Merkel auch hoechst persoenlich den Kauf veranlasst hat. Die hat mit dem BKA auch so viel zu tun. Scheint als haette jemand die Realitaetsupdates der letzten 22 Jahre verschlafen.
Geschrieben von: Schattenfang 17.01.2013, 15:16
Selbst schuld würde ich sagen.
Geschrieben von: J4U 17.01.2013, 16:19
Bleibt nur für Deine Kundschaft zu hoffen, dass Deine Softwarekenntnisse besser sind als Dein Allgemeinwissen.
J4U
Geschrieben von: Fabian Wosar 17.01.2013, 16:31
Ich bin mir ziemlich sicher auch der Chef des Chefs des Chefs Deines Chefs hat Besseres zu tun als die Anschaffung einer Software abzusegnen, sofern er dazu ueberhaupt bevollmaechtigt ist (Ressortprinzip laesst gruessen). Aber das weisst Du eh. Dir ging es nur darum ein wenig Ossi-Bashing zu betreiben.
In diesem Sinne, gehab Dich wohl!
Geschrieben von: J4U 17.01.2013, 17:15
Glückwunsch zu Deinem 2. Eigentor binnen weniger Minuten.
Da es der Malware aber sch...egal ist, wo der Rechner steht: Back to Topic
*PS: Angela Dorothea übrigens nicht, die stammt aus Hamburg, aber deren Familie ist den roten Verlockungen erlegen.
0:3
Geschrieben von: Schattenfang 17.01.2013, 17:20
Nehmen wir den bekannten Fall. Gefaktes Flash-Update für iTunes. 1.) Die Updatequelle müsste klar ersichtlich sein. 2.) Ist das BKA bevollmächtigt Fakeupdates für Fremdfirmen einzuspielen?
Geschrieben von: Habakuck 17.01.2013, 17:53
Geschrieben von: Schattenfang 17.01.2013, 18:23
...und der Zoll darf das??
Das sind übrigens ernstgemeinte Fragen. Ich meine, wenn Regierungen staatliche Spionagesoftware einsetzen, dann muss es ja auch einen Infektionsweg geben.
Geschrieben von: SLE 17.01.2013, 19:24
Ohne die juristischen Details durchzugehen. Unter gewissen, oft konstruierten, Verdachtsmomenten ist es eben gestattet. Genau wie man Leuten am Flughafen mal kurz die Notebooks abnimmt etc.
Mit der Update-Story...gilt ja nur für die ursprüngliche Version des vorläufig lizenzierten Dingens. Ob es hier so genutzt wird - eher nicht, würde ja die Erfolgsquote mindern. Andererseits: So vorgehen wie "normale" Malware ist vielleicht effektiv...genug Nutzer zeigen ja, dass sie so "blöd" sind und auf solche Infektionswege anspringen.
@J4U:
Auch wenn du ein Ossi bist, dein Posting impliziert auch für mich als läge es in letzer Instanz an Frau M. und ihrer DDR Sozialisation, die durchaus ein paar Merkwürdigkeiten aufweist. Was aber alles albern ist, auch westliche Staaten können und konnten schon immer ganz gut spionieren etc. Vielleicht sogar besser als die DDR und SU? Sie hat weder mit den Entscheidungen zu tun, noch ist sie im derzeitigen System letzte Veto-Instanz.
Geschrieben von: Schattenfang 17.01.2013, 19:38
Richtig, aber die potentielle Zielgruppe ist mit Sicherheit anders auf der Hut.
Geschrieben von: J4U 17.01.2013, 19:39
Bevor Du mich auch hier missverstehst, ich heiße keine von beiden gut!
Und nun Schluss mit diesem "Nebenkriegsschauplatz".
Geschrieben von: SLE 17.01.2013, 19:57
Man schaltet sie ein. Die meisten PW-Schutzmechanismen sind ein Witz
Es gibt die Praxisbeispiele.Daneben, um auch auf Schattenfang einzugehen: Ich glaube nicht, dass man die "Update verfügbar" Variante nutzt, wie oben geschrieben.
Dazu könnte man endlos schreiben, wo sollte man da aufhören? (Gibt ja auch so Slogans wie "Bomben für die Menschenrechte"...wo es einem hochkommt) Vergleichen will ich es nicht - und deine letzte Klarstellung lässt mich dich auch verstehen. Vorher klang es eben schon anders.
Und deine persönliche Äußerung Richtung Fabian (Softwarekenntnisse vs. Allgemeinwissen) lies eben noch mehr vermuten, dass du es anders meinst. Ich erkenne da keine Eigentore seinerseits.
Zu tun haben ist aber was anderes als absegnen und mitentscheiden. Arbeitsteilung (und Arbeitsverweigerung), Selbstbestimmung etc. gibt es auch auf dieser Ebene. Und manche Leute (die, die wirklich Arbeit haben) sind in ihren Stellungen da auch unabhängig von der jeweiligen Regierung. Marionetten halten nur den Kopf hin - oder lassen sich feiern, je nachdem.
Nun wirklich gut.
Geschrieben von: Schattenfang 17.01.2013, 20:13
Ich würde da gern noch mal bei bleiben, wenn es dich nicht stört
Welche Infektionswege gibt es denn überhaupt?
- Gefakte Programmupdates
- Gefakte Mailanhänge/ Links in Mails
- Persönliche Inbeschlagnahmung der Rechner an Flughäfen und manuelle Infektion etc.
- Driveby-Downloads
Wäre es theoretisch möglich, so eine Software auch über ein vermeintliches Windows-Update einzuspielen? Ich glaube darauf würde ich definitiv hereinfallen, weil es wirklich schwierig ist die Updatenquellen von Microsoft zu überblicken. Insbesondere dann, wenn sie sogar den off. Weg über Microsoft gehen würden, was die individuelle Updateverteilung im Einzelfall ermöglicht.
Wäre es darüber hinaus möglich einen PC über IP-Direktweg zu infizieren/infiltrieren?
Geschrieben von: J4U 17.01.2013, 21:00
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)