Der Staatstrojaner – ein Fall für den Mülleimer

Der Staatstrojaner (früher Bundestrojaner, zwischendurch auch gerne Ländertrojaner) ist mein persönlicher Voodoo-Lieblingstrojaner. Denn, so argumentierte ich in der Vergangenheit, es würde sich garantiert nicht um eine fertige Software handeln, die von der Polizei oder anderen hoheitlichen Behörden einfach irgendwo eingeschleust würde.

Glaubt man der Meldung Chaos Computer Club analysiert Staatstrojaner, ist es aber doch so. Denn der CCC hat einen mutmaßlichen Bundestrojaner als Binärdatei zugespielt bekommen und konnte ihn analysieren, siehe dazu auch dieses formidable PDF, das zeigt, dass die Herren Beamten nicht nur selbst Computersabotage verüben, sondern auch noch anderen Onlinekriminellen Tür und Tor öffnen. Das zieht natürlich rechtliche und gesellschaftliche Probleme mit sich, die zum Beispiel beim law blog, der Zeit, der SZ anklingen.

Haben jene abwiegelnden Politiker Recht, die einfach nicht verstehen können, dass man ein derartiges Bohei um die Schnüffelsoftware macht? Immerhin kommt sie wahrscheinlich tatsächlich nur bei einer Handvoll Überwachter zum Einsatz. Allerdings könnte man mit derselben Argumentation auch Folter zulassen, Hauptsache, sie würde nur spärlich eingesetzt… anders gesagt: Es macht keinen Unterschied, ob die Exekutive nur gelegentlich oder immer das Recht verletzt, da können sich Bosbach und Herrmann winden, wie sie wollen. Und wer will noch die Beteuerungen von Behörden glauben, die es mit dem Recht nicht so eng sehen, wie z.B. beim Großen Lauschangriff auf Millionen Handys in Dresden.

Egal. Eine solche Software, dachte ich Depp, würde früher oder später erkannt, der Antivirenindustrie zugespielt und damit wertlos, daher würde man das so gewiss nicht machen. Hat man aber, und es kam genau so. Ich bin der Depp, weil ich tatsächlich geglaubt habe, unsere Behörden würden hier sinnvoll vorgehen. Das ist das, was mich wirklich daran stört: Nicht, dass Grundrechte ausgehöhlt werden oder Polizei und Staat sich nicht an die Gesetze halten – beides hat lange Tradition und wird sich noch rächen. Nein, was mich stört, das ist rausgeschmissenes Steuergeld für einen Bullshit-Trojaner, den man jetzt in die Mülltonne klopfen kann, weil ihn praktisch jeder Virenscanner erkennt (siehe unten). Sprich: Falls das wirklich „der“ Trojaner war, dann dürfen wir den Behörden jetzt die Entwicklung eines neuen bezahlen. Und da wundern sie sich, dass Piratenpartei gewählt wird… ich sollte eintreten.

Nachtrag vom November:


Analyse der mutmaßlichen Staatstrojaner-Datei 0zapftis-release von Virustotal:

AhnLab-V3 v2011.10.10.00:
AntiVir v7.11.15.232: TR/GruenFink.2
Antiy-AVL v2.0.3.7: Trojan/win32.agent.gen
Avast v6.0.1289.0: Win32:R2D2-E [Trj]
AVG v10.0.0.1190:
BitDefender v7.2: Trojan.Generic.6714587
ByteHero v1.0.0.1:
CAT-QuickHeal v11.00:
ClamAV v0.97.0.0: Trojan.BTroj-1
Commtouch v5.3.2.6: W32/R2D2.A
Comodo v10422: Backdoor.Win32.R2D2.A
DrWeb v5.0.2.03300: BackDoor.RTwoDTwo.1
Emsisoft v5.1.0.11: Backdoor.Win32.R2D2!IK
eSafe v7.0.17.0:
eTrust-Vet v36.1.8611: Win32/R2D2.A
F-Prot v4.6.5.141: W32/R2D2.A
F-Secure v9.0.16440.0: Backdoor:W32/R2D2.A
Fortinet v4.3.370.0: W32/R2D2.A!tr.bdr
GData v22: Trojan.Generic.6714587
Ikarus vT3.1.1.107.0: Backdoor.Win32.R2D2
Jiangmin v13.0.900: Backdoor/R2D2.a
K7AntiVirus v9.115.5267: Backdoor
Kaspersky v9.0.0.837: Backdoor.Win32.R2D2.a
McAfee v5.400.0.1158: BackDoor-FCA
McAfee-GW-Edition v2010.1D: Heuristic.BehavesLike.Exploit.CodeExec.PGPG
Microsoft v1.7702: Backdoor:Win32/R2d2.A
NOD32 v6534: Win32/R2D2.A
Norman v6.07.11: W32/R2D2.A
nProtect v2011-10-11.01:
Panda v10.0.3.5: Trj/Bundestrojaner.A
PCTools v8.0.0.5:
Prevx v3.0:
Rising v23.79.01.04:
Sophos v4.70.0: Troj/BckR2D2-A
SUPERAntiSpyware v4.40.0.1006:
Symantec v20111.2.0.82: Backdoor.R2D2
TheHacker v6.7.0.1.320:
TrendMicro v9.500.0.1008: BKDR_R2D2.Z
TrendMicro-HouseCall v9.500.0.1008:
VBA32 v3.12.16.4:
VIPRE v10730:
ViRobot v2011.10.11.4713:
VirusBuster v14.1.6.0: Backdoor.R2D2!w/vENfl9bd8
MD5 4f57eb86b5b7c779d9daed151fbf1ff1
SHA1 fbb30963ebe3a17e496a3330a83ea88ae4039ea2
SHA256 1741b3d0dfb1ebeed03b4c7d86cdd14503b4bf328c0b51d64e908020eb583232
File size 368640 bytes – Scan date 2011-10-11 16:23:11 (UTC)

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

9 Antworten

  1. MartinP sagt:

    Da kann ich nur aus dem oben verlinkten Bericht des CCC zitieren:

    “Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.”

  2. Jürgen sagt:

    Hallo!
    Nach einem bericht der Computerbild, ist der Bundestrojaner nicht da um in die Mülltonne gekloppt zu werden. Der “MACHT” für die schon Sinn, denn CB berichtete, dass ein Antivirenhersteller die Tür für dieses “Programm” offen lässt. Was bringt uns da noch die Meinung von AV-Test? Für mich ist daher wichtiger, 1. Standarbenutzerkonto einrichten, 2. gucken was man installiert.

    • Andreas sagt:

      Spökenkieckerei. Computerbilds Hinweis würde mich mächtig beeindrucken, hätte man einen konkreten Hersteller genannt. So aber bleibt es völlig unüberprüfbar und daher meiner persönlichen, privaten Meinung nach (und ausdrücklich ohne damit eine Faktenaussage treffen zu wollen) vor allem ein PR-Coup der CB, um sich wichtig zu machen. Genauso gut könnte ich hier behaupten, *mir* hätte man unter der Hand mitgeteilt, *wer* denn dieser verräterische Hersteller war – aber aus rechtlichen Gründen wäre ch verdammt, darüber zu schweigen. Unüberprüfbar. Wie göttliche Visionen.

      Die Meinung von AV-Test kann nur eine Meinung von vielen sein, und als solche sollte man sie auch betrachten. Auch ich kenne den Stein der Weisen nur vom Hörensagen.

      Was Deine “Schutzmethode” (1. Standardbenutzerkonto, 2. aufpassen) angeht: Wenn, dann wird Dir der Staatstrojaner auf Deinem System installiert, während Du gerade Deine Wohnung verlassen hast und Dein Rechner unbeobachtet ist. Wie eine Wanze im Telefon. Es hilft also nichts. ;-)

  3. Jürgen sagt:

    Die Installation des Staatstrojaners auf meinem System ginge nur mit physikalischem Zurgriff und da das BKA bei mir nicht ständig aus und ein geht, mache ich mir da weniger Sorgen. Wenn sich aber irgendwelche Deppen Malware zuschicken lassen und diese dann Installieren, sind sie doch selbest schuld.

    Da ich von W. Gieseke so ziemlich alle Bücher zu Windows 7 gelesen habe, bin ich nun sehr gespannt über dein Buch, was ich mir bestellt habe. Vor allen Dingen, welche Informationen ich daraus ziehen kann, um meine Systemsicherheit noch zu verbessern.

    Wenn manche Ihr System bzw. ihren Router wie folgt einstellen, zb. Remotedesktop aktivieren, den Rechner anpingen lassen, UPNP aktivieren usw., da freut sich doch jede Malware! :-)
    Fast 50 % der installierten Malware wird durch die Person vor dem Bildschirm und hinter der Tastatur installiert. Weitere fast 20 % kommen über Drive by Downloads auf den Rechner, der Rest verteilt sich über Wechseldatenträger. Also bestimme doch ich zum größten Teil was installiert wird und was nicht.

    Im Übrigen wundert es mich auch, dass der Schweizer Käse von CB nicht genannt wurde der diesen Mist durchlässt.

    Was ich gut finde, dass es jetzt endlich mal ein Buch gibt, was sich ausschließlich um die Sicherheit von Windows 7 kümmert. Habe den Index des Buches bei Amazon.de gelesen, scheint sehr interessant zu sein.

    • Andreas sagt:

      Natürlich geht das BKA bei Dir nicht ein und aus, aber genau wie einer anderen Überwachung wird es entsprechende Zeitpunkte im Rahmen einer längeren Beobachtung abwarten.

      Und Du bist eindeutig zu bewandert und abgebrüht für das Buch. Remotedesktop z.B. deaktiviere ich nicht (reine Tippheft-Paranoia; diesen Dienst auch nur “legal” zu nutzen ist ja schon fast unmöglich), UPnP abzuschalten habe ich (im Buch) glatt vergessen (mir ist auch keine Malware bekannt, die das nutzt), das wäre bei Routern aber erwähnenswert gewesen. Na ja, man kann nicht an alles denken… Und Du siehst: Du wirst sicher auch reichlich zu kritisieren haben ;-)

  4. Jürgen sagt:

    Zu Remote Desktop bitte hier lesen: http://www.pc-magazin.de/news/morto-wurm-nimmt-wieder-fahrt-auf-1175924.html

    Zu UPNP das hier: http://www.heise.de/security/meldung/UPnP-faehige-Router-ermoeglichen-Angriff-aufs-LAN-1329633.html

    Ping benötigen nur Admins um Ihre Netzwerkrouter auf Funktion anzupingen.
    Rechner suchen ständig weltweit nach anderen Rechnern, bei mir bekommen die keine Antwort, somit greift mich auch keiner an. Ganz einfach!

    Buchkritik, schaun mer mal :-)

    • Andreas sagt:

      Morto betrifft Windows 7 überhaupt nicht, und selbst wo er Windows-Systeme betrifft, sind diese durch ihn nicht gefährdeter, als sie es ohnehin schon sind: weil sie schwache Passwörter verwenden. Eher von theoretischem Interesse.

      UPnP: Die Meldung ist mir bekannt, aber die genannten Geräte sind in Deutschland (bis auf LinkSys) eher selten, das ganze also eher von theoretischem Interesse. Aber wie schon geschrieben: Darauf hätte man noch hinweisen können.

      Pings: Nicht auf Pings zu reagieren rettet keinen PC, auf sie zu reagieren schadet aber auch keinem. Es kommt auf die Dienste an, und ob sich diese exploiten lassen.

      Das mag jetzt ein bisschen abwinkend wirken, aber viele Gefahren, über die man so liest, sind doch eher theoretischer Natur und nur dazu da, Stoff zu liefern. Ich wollte das hier in diesem Blog eher meiden, daher versuche ich, gängige Ratschläge auch daraufhin zu überprüfen, ob sie eher Voodoo sind. Und bei Windows 7 RDP abzuschalten ist eben Voodoo, die Pings ignorierende Firewall ist es ebenfalls.

  5. Jürgen sagt:

    Eventuell schönt Microsoft seine Verkaufszahlen, wenn berichtet wird, dass 98% der weltweit laufenden Betriebssysteme von Windows stammen. Allen voran das gute alte XP. Stellt sich nun die Frage für welches System Morto geschrieben wurde? Für Linux sicher nicht.

    Getestet wurden LinkSys und ein paar andere, die Geräte sind nicht selten sondern wurden dahingehend nicht überprüft.

    Ich sehe keinen Sinn für das Anpingen von Einzelplatzrechnern, aber jeder so wie er will.

    Ich denke, die Fernsteuerung von Webcams, wie aktuell geschehen sollte schon ein Grund seine RDP bzw. Dienste entsprechend in Hinsicht auf etwaige Dos-Angriffe zu überprüfen und ggf. zu deaktivieren. Diese Angriffsversuche passieren tagtäglich millionenfach.