Chaos Computer Club analysiert Staatstrojaner.

http://www.heise.de/newsticker/meldung/CCC...er-1357670.html

und...

http://ccc.de/de/updates/2011/staatstrojaner

sowie...

http://www.faz.net/aktuell/feuilleton/ein-...s-11486473.html

Boah,

ein dickes Danke für deine Info FreeBSDler und einen Achtungserfolg für CC

The German Bundestrojaner , und das isser

http://www.virustotal.com/file-scan/report...7bc4-1318115925

http://www.virustotal.com/file-scan/report...702f-1318115989

Laut Symantec haben die Dateien keine Reputation und sind erste diese Woche das erste mal gesehen worden.
Ich werd sie mal ans Websubmit einschicken als "German State Trojan used by German intelligence to hack into PCs and for stealing informations" . Mal gespannt ob sie´s Einpflegen.

Ich tippe auf "Nein".

Ham se aber schon :-)
Finde ich gut.

Schon aus Marketinggründen werden (zumindest die geleakten) Varianten sicher von allen eingepflegt

Symantec hatts schon "Backdoor.Earltwo" für beide Dateien , bin überrascht das es so fix ging .

Ja heute morgen hatten es neben F-Secure, Symantec, Kaspersky und Sophos von den Großen. Mittlerweile haben McAffee und Avira nachgezogen.
Naja - für ein paar News gut, zum Einsatz kommt diese Variante sicher nie.

Was ist mit EAM? Erkennung möglich mit Mamutu?

In den Signaturen ist es mittlerweile. (die dll) (lustiger Name, mit der Mode gehen :-) )
Klicken um den Anhang anzusehen

Zu Mamutu bzw. verhaltensbasierter Erkennung im allgemeinen kann man nichts sagen, da ja nur ein Treiber (winsys32.sys) und eine dll (mfc42ul.dll) davon geleaked sind. Also nichts ohne weiteres ausführbares.

Danke, wie geil ist der Name bitteschön

http://www.ccc.de/system/uploads/77/origin...tis-release.tgz



Domino

Danke:

Der Installer wäre interessant , ob Verhaltensblocker anschlagen.

Interessant wäre das auf jeden Fall, aber

da das keine Massenware ist und "man" den zu infiltrierenden Rechner kennt, ist das eigentlich unerheblich. "Man" kann das sicherlich anpassen. Wenn nicht muss "man" halt eine Ausnahme in der jeweiligen Schutzsoftware einrichten.
Wenn das notwendig sein sollte ist physikalischer Zugriff sicherlich erlaubt.



Domino

@Domino

Auch danke, F-sec2012 hat auch 3x Backdoor W32/R2D2.A usw. gefunden.

Statement von F-Secure dazu:


http://www.f-secure.com/weblog/archives/00002249.html

Schon jemand aufgefallen das Norton Deutsch bisher noch keinen Bundestrojaner erkannt hat , Symantec Corporate Edition erkennt den Bundestrojaner laut Virustotal ja seit heute Vormittag.

und noch was zum lesen:

"Bundestrojaner" verfassungswidrig
Der Einsatz dieser Software verstoße gegen das Urteil des Bundesverfassungsgerichts vom 27. Februar 2008, das der Telekommunikationsüberwachung enge Grenzen setzt. Grüne, FDP und die Piratenpartei forderten eine Aufklärung und ein Einsatzverbot für den "Bundestrojaner". Bundesjustizministerin Sabine Leutheusser-Schnarrenberger erklärte, die FDP habe immer vor den Gefahren staatlicher Schnüffelsoftware gewarnt.
http://www.n24.de/news/newsitem_7326929.html

Das BKA behauptet in den TV Nachrichten diese verfassungswidrige Software wäre nicht eingesetzt worden dabei kam der Bundestrojaner von Festplatten von Verdächtigen und die C&C Server sind sogar noch aktiv, solche unverschämten Lügen lässt man kritiklos dastehen.

Wundert dich das wirklich ?

Wir werden doch ständig in einer Tour, und lange Zeit, von Politik und deren Bediensteten belogen und betrogen !
Die machen halt ungestraft weiter und weiter, über unsere Köpfe hinweg.
Wenn der Profalla seinen Kollegen mal so eben beschimpft, was glaubst du denn was die hinter verschlossenen Türen über den normalen arbeitenden Bürger reden und sagen ?

Alles verlogene Wendehälse usw.

Und wenn alle ungraden Politiker auf einen Schlag im Bundestag verschwinden würden, dann würde dort IMHO evtl. nur noch der Ströbele allein sitzen.

Ich höre besser auf bevor ich noch vollends heiß laufe....

Ich hab mal Heise direkt angeschrieben auf den Verdacht des Bundestrojaner Whitelisting , das Norton Deutsch nach 10-12h den Bundestrojaner immernoch nicht erkennt obwohl laut Virustotal die Corporate Edition den Trojaner seit heute früh erkennt, mittlerweile sogar mit einer zweiten Signatur Backdoor r2d2 .
http://www.virustotal.com/file-scan/report...7bc4-1318185682

Ich hab das extra auf virtuellen Maschinen eben gerade noch gegengeprüft mit Norton deutsch und auf einer zweiten mit Norton engl. , Update eingespielt und Bundestrojaner gescannt. Keine Reaktion.

Wenn sich mein Verdacht bestätigt dann ist der Trojaner 100pro echt.

Avira erkennt ihn aber. NOD32 deutsch auch.

Ui, großes Kino hier, spannend und unterhaltsahm.

In der tageschau von heute 20 Uhr wurde alles dementiert, ---> http://www.tagesschau.de/multimedia/sendung/ts29508.html ....von der Bundesregierung, haben wir noch eine ?

Catweazle

23.30 Uhr und noch keine Erkennung von Norton auf beide Dateien (DLL und SYS) ! sieht für mich sehr verdächtig aus.

Die Zeit ist schon lange verstrichen wo Norton in der Regel das am Abend erkennt was bei Virustotal bei Symantec tagsüber als Erkennung steht .

Symantec scheint wohl dem Gesuch nachgekommen zu sein deutsche Bundestrojaner in Norton-Versionen zu whitelisten.

Wenn dem so wäre, werde ich meine Lizenzen abstoßen und Norton den Rücken kehren....

Vll. spinnen ja auch alle meine Norton Versionen , testet doch mal mit !
Auf dem Host erkennt Norton nichts und in der VM mit Norton deutsch und auf der anderen mit Norton englisch auch nicht.

Hab hier die Datei runter geladen:
http://www.rokop-security.de/index.php?s=&...st&p=343663
und mittels rechter Maustaste gescannt. Das Ergebnis war folgendes (siehe anhang).
Mehr traue ich nicht da ich immer noch keine vm aufgesetzt habe.

Zitat von Fabian aus dem EAM-Forum:



Scrapie

Fast 24h später kommt die Erkennung , wer weiss vll. musste Symantec ja doch erst die Dateien von der Whitelist runternehmen ? Normalerweise wenn Symantec auf Virustotal Tagsüber etwas Neues erkennt dauert das nicht länger als 6-8 Stunden bis die Signatur auch beim HomeClient Norton AV endgültig rein ist.

Eine Whitelist ist glaube ich garnicht nötig. Wie Domino ja schon kurz angesprochen hat ist das verwendete AV eh egal wenn man gezielt angegriffen wird. Die haben ein bischen mehr Ahnung als wir.. da muss man sich nichts vormachen.

Der CCC hat richtiger Weise erst das BKA und dann die AV Hersteller informiert damit laufende Ermittlungen nicht gefährdet werden. In so fern hat Symantec evtl. ein bischen länger die Füße still gehalten als die Anderen um keinen Ärger zu riskieren. Das wäre so meine Vermutung.

Es sind auch die Umstände bekannt, wie der Trojaner im System installiert war z.B.. Basierend darauf und den Informationen, die ich beim Reversen gesammelt habe, wäre ich doch sehr erstaunt wenn nicht jedes halbwegs brauchbare HIPS und jeder halbwegs brauchbare Behavior Blocker Alarm schlagen.


Das ist endlich ein Name, unter dem sich zumindest der deutsche Otto-Normal-Verbraucher sich etwas vorstellen kann. Genau deshalb hab ich den Samples den Namen auch verpasst .

Danke für die Erläuterungen Fabian!

Wie kam F-Secure eigentlich zu der R2D2 Erkennung bevor CCC das Ding veröffentlich hat??

Der CCC hat laut eigener Aussage das Sample an AV Hersteller weitergegeben. Daher hat F-Secure wahrscheinlich das Sample. Wie sie auf den Namen kommen, ist recht offensichtlich. Der Trojaner benutzt ein eigenes Protokoll um mit dem Server zu kommunizieren. Dabei beginnen Anfragen, die der Trojaner an den Server sendet, mit folgendem String: "C3PO-r2d2-POE". Offensichtlich war der Entwickler wohl Star Wars Fan . Von da stammt wahrscheinlich der Name.

^^ sowas finde ich immer herrlich! =D

Du meinst jetzt diesen Ströbele, den die SPD aus ihren Reihen verbannt hat, weil er RAF-Terroristen als "Liebe Genossen" bezeichnete und der auf einmal grün geworden ist?

Dreck haben die alle am Stecken und wetten, das große Geschrei hört bald auf und in ein paar Wochen tun alle so, als wäre nichts gewesen.
BB is watching you...

J4U

wird eh nur ne gefakte variante sein, damit nen par leutz jetzt wie hier hin und her hoppeln können und glauben se wären jetzt sicher nettes marketing gag vom bund wie man sieht klapts hevoriragend ;:D

Gute Reklame für die Priatenpartei.

Guten Abend,
Stück für Stück kommt man der Sache etwas näher. Der Bayern Trojaner??
http://www.heise.de/security/meldung/Staat...rn-1358091.html

Ich weiß nicht is ers wirklich ?

Catweazle

Ist wer was

dor bavarian trojan , bei "o´zapft´is" hätte man aber gleich auf Bayern kommen können , die fanden das offenbar witzig 60.000 Screenshots anzufertigen, aller 30 Sekunde eins , bei einem Pharma-Händler !

Das heisst es war kein Terrorismus oder ein Staat in Gefahr und obendrein wurde noch ein Verfassungsurteil verletzt.

Und Herr Uhl findet das alles als wenig hilfreiche Skandalsierung der Angelegenheit , wenn der Staat sich nicht an Recht und Gesetz hält, nach dem Motto Wir haben zwar Gelogen und Betrogen aber jetzt lasst uns doch die Sache einfach vergessen und wieder Freunde sein. Glaubt der das etwa wirklich was der von sich gibt.

Ausschnitt aus dem Online-FAQ der Tagesschau:

Verhindern Antivirus-Programme oder eine Firewall einen Staatstrojaner?

Firewalls und Antivirus-Programme entdecken in erster Linie Viren und Schadprogramme, die sie bereits kennen oder die sehr typische Verhaltensweisen haben. Deswegen brauchen sie ständig aktuelle Virenlisten. Wenn der Staatstrojaner eine "Einzelanfertigung" ist, hat er gute Chancen, nicht erkannt zu werden. Ein Antivirus-Programm oder eine Firewall machen einen Angriff aber sicher schwieriger.

Gibt es ein Staatstrojaner-sicheres System?

Ja, einen Computer ohne Internet-Verbindung. Ein Schnüffel-Programm lässt sich natürlich aber auch ohne Internet-Verbindung installieren, wenn man Zugang zu dem Rechner hat.

http://www.tagesschau.de/inland/trojaner106.html

Guten Abend,
für alle die jetzt die Hosen voll haben, hier ist die Software!! der Anti-Bundestrojaner
https://www.steganos.com/de/produkte/gratis...ner/screenshots

Na, das ist doch mal ein Service

http://www.heise.de/newsticker/meldung/Sta...rn-1358091.html

Bayern will jetzt 3 Jahre nach dem Einsatz des rechtswidrigen Schnüffelprogramm ".. die Einhaltung der rechtlichen Vorgaben sorgfältig prüfen" , nach dem Motto Wir geben den Banken jetzt schonmal 150 Milliarden und prüfen in 3 Jahren die rechtlichen Vorgaben.

The next James Bond is "Der Spion der mich siebte - wie der Bundestrojaner meine XP-Möhre schrottreif schoss"

Lache mich weg, solange es nur die Xp-Möhre ist. Egal.

Habe eben gelesen, das W7x64 und Mac Rechner nicht betroffen sind.

Und nicht nur Steganos ist aktiv geworden ArchiCrypt Tool Anti-Bundestrojaner: http://www.chip.de/downloads/ArchiCrypt-To...r_52141670.html