Bundestrojaner erkennen und entfernen?

Madagascar_a70a69 · 16. Oktober 2011 um 16:24

Liebe/-r Experte/-in,

die Enthüllung vom Chaos-Computer-Club zu dem Bundestrojaner hat mich sehr erschüttert und mein Vertrauen in Staat und Regierung in erheblichem Maße gestört. Gibt für mich eine sichere Möglichkeit diesen Trojaner zu erkennen und auch zu entfernen?

Vielen Dank!
Kathrin Wagner

shuber2 · 16. Oktober 2011 um 18:04

Liebe Kathrin,

soweit mir bekannt ist, sollten alle handelsüblichen Antiviren-Software-Hersteller Signaturen des Staatstrojaners in ihre Datenbanken eingepflegt haben. F-Secure erkennt das vorliegende Exemplar etwa als „Backdoor:W32/R2D2.A“.

Allerdings kann naturgemäß niemand vorhersagen, welche Varianten vom Staatstrojaner noch nicht oder bereits im Umlauf sind, bis auf jene, die man zufällig entdeckt hat.

Infos zum Thema findet man auch immer CCC-Mitglied FeFe:
http://blog.fefe.de/

Und natürlich beim CCC selbst:
http://www.ccc.de/de/updates/2011/staatstrojaner

Auch von Interesse im Zusammenhang mit Erkennung:
http://blog.fefe.de/?ts=b06a8ce2

Schöne Grüße.

Cecil_Nobbs · 16. Oktober 2011 um 19:02

Persönlich bin ich durch den „Staatstrojaner“, wie der CCC ihn nennt, nicht betroffen und bin daher auch nicht in der Lage faktisch auszuprobieren ob diese Methoden funktionieren.

Es gibt einige Tools die in der Lage sind diesen (!) Trojaner zu entdecken und zu entfernen.
Wie jenes: http://www.chip.de/downloads/ArchiCrypt-Tool-Anti-Bu…

Außerdem können die meisten Anti-Viren Software diesen (!) Trojaner inzwischen erkennen und entfernen.

Das Problem ist jedoch, dass niemand den Staat (oder das organisierte Verbrechen, oder eine Einzelperson, oder sonstige Gruppen) daran hindert einen neuen Trojaner zu schreiben, der das selbe leistet und nicht entdeckt wird (bis wieder eine Gruppierung diesen entdeckt und die Daten darüber veröffentlicht).
Das ist im übrigen oft der normale Weg für Viren und Trojaner aller Art.

Eine Gruppe schreibt diesen, so dass er nicht erkannt wird.
Dann wird er in Umlauf gebracht.
Jemand bemerkt den Trojaner und eine Gruppierung (Beispielsweise der CCC oder ein Anti-Viren-Hersteller) findet heraus wie man ihn erkennt und entfernt.

Grundsätzlich ist kein Computer der in einem Netzwerk (wie zum Beispiel dem Internet) ist, sicher davor ausgespäht zu werden. Vollkommen unabhängig vom Betriebssystem und der Software die darauf läuft.

Jedoch kann man natürlich versuchen sich zu schützen. Ein gängiges Anti-Virus und eine Firewall sollten in jedem System nicht fehlen. Letzteres haben neuere Windows-Versionen bereits installiert.
Man sollte sich von Seiten fern halten, die nicht vertrauenswürdig sind und keine E-Mails öffnen, die nicht von Bekannten kommen (oder die man erwartet).

Der Hype um den Staatstrojaner ist jedoch etwas übertrieben, zumindest auf einer technischen Ebene. Während er ein massiver Vertrauensbruch zwischen den Bürgern unserer Heimat und seinem Staat ist, ist er aus technischer Hinsicht nicht gefährlicher als viele andere Trojaner die persönliche Daten ausspähen, um Beispielsweise das Bankkonto des Opfers leer zu räumen oder an andere sehr private Daten zu kommen.

J_rgen_Haas · 16. Oktober 2011 um 22:17

Nein,

bevor nicht Spezialisten wie z.B. Entwickler von Virensoftware entsprechende Tools herausbringen, hat der einfache User keine Chance etwas zu machen. Höchstens offline bleiben.

Grüße
Jürgen

CPU_Power · 2. November 2011 um 10:33

Da der CCC die Binaries veröffentlicht hat, haben die meisten Hersteller von Antivirenprogrammen ihre Signaturen aktualisiert, sodass der Trojaner schon durch diese erkannt werden sollte. http://www.virustotal.com/file-scan/report.html?id=3…

Weiterhin installiert der Trojaner ein eigenes Kernel-Modul: winsys32.sys
und eine DLL: mfc42ul.dll
Beide Dateien befinden sich nach Installation in c:\windows\system32\
bzw. statt C die partition auf der Windows installiert ist.

Der Registry-Schlüssel

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

wird geändert, sodass die mfc42ul.dll in jeden Prozess geladen wird, der auch user32.dll lädt, was so gut wie immer der Fall ist.
(vgl. http://www.ccc.de/system/uploads/76/original/staatst…)

Überprüfen ob der Bundestrojaner installiert ist, kann man also indem überprüft ob die oben dargestellten Änderungen am System durchgeführt wurden.

Entfernen könnte z.B. mit diesem Tool klappen: http://www.chip.de/news/Anti-Bundestrojaner-Loeschen…

Alternativ könnte man versuchen über eine Linux-Live-Distribution wie Knoppix die entsprechenden Dateien zu löschen und aus dem oben genannten Registry-Key mfc42ul.dll zu entfernen.

Zur einfachen und sicheren Entfernung eignet sich nur die komplette Neuinstallation des Systems. Also formatieren der Festplatte (ALLE Daten gehen verloren). Und Neuinstallation von Windows über eine Installations- oder Recovery-CD/DVD.

P.S.:
Die bisherigen Versionen des Trojaners laufen nicht unter Linux. Eventuell lohnt sich also ein Umstieg auf eine Linux-Distribution. Einsteigerfreundlich ist z.B. Ubuntu.