ArchiCrypt stellt erstes Tool für 64-BIT-Systeme zur Entdeckung des „Bundestrojaners“ ab sofort kostenlos zur Verfügung.
Nach intensiver Analyse der bisher bekannten 32-BIT-Version des Bundestrojaners, uns gelungen ein Tool zu entwickeln, dass nun auch 64-BIT kompatibel ist. Der Bundestrojaner, der vom Chaos Computer Club (CCC) am Wochenende gehackt wurde, war in den letzten Tagen das Top Thema aller Medien in Deutschland. Wir stellten dazu bereits am Montag dieser Woche ein Tool zur Entdeckung und Entfernung des Bundestrojaners zur Verfügung.
Das ArchiCrypt-Tool erkennt Merkmale der 64-BIT-Version des Bundestrojaners
Obwohl noch nicht bekannt ist, ob es eine 64-BIT Version der Überwachungssoftware gibt, haben wir bereits jetzt ein Tool entwickelt, das den mutmaßlichen Bundestrojaner durch seine Heuristik- Technologie entdecken kann. „Da noch keine Informationen zu einer 64-BIT-Version des Bundestrojaners vorliegen, ist es leider auch nicht möglich entsprechende Software zur Verfügung zu stellen, die diesen entfernt. Trotzdem ist es unserem Unternehmen gelungen einen Scanner zu entwickeln, der durch seine Heuristik Tiefenanalyse speziell nach den bisher zugrunde liegenden Informationen der 32-BIT Version des Trojaners, nach Merkmalen sucht, die eine 64-BIT Version der Schadsoftware aufweisen muss. „Der ArchiCrypt Anti-Bundestrojaner erkennt diese Merkmale eindeutig“ so Patric Remus, Inhaber des Unternehmens ArchiCrypt.
Aufspüren von Varianten des Bundetrojaners mit dem ArchiCrypt-Tool
Das Tool ArchiCrypt Anti-Bundestrojaner für 64-BIT-Systeme wird ab sofort kostenlos zum Download zur Verfügung gestellt. Das Tool benötigt keine vorherige Installation und kann nach dem Download sofort ausgeführt werden. Die Analyse des Systems dauert ab Start etwa 20 Minuten. Ein zusätzlicher Vorteil dieses Analyseverfahrens ist, dass auch die angeblich in Umlauf befindlichen Varianten des Trojaners aufgespürt werden können.
Download: ArchiCrypt Anti-Bundestrojaner 64-BIT
Warum wir sicher sind, die 64-BIT Version des Bundestrojaners zu finden?
… so es sie denn gibt!
Wirft man einen Blick in die vorliegende 32-BIT Version, kann man s.g. Kernmerkmale finden, die genau so auch in der 64-BIT Version vorkommen müssen:
1. Der Treiber richtet ein Gerät mit Namen „KeyboardClassC“ ein. Mit CreateFile (.KeyboardClassC,…) wird man sich auch unter 64 BIT mit ihm verbinden können.
2. Auch die 64-BIT Version wird ihre Erkenntnisse an den Server in den USA senden wollen.
3. Auch bei der Kommunikation der 64-BIT Version wird zur „Authentifizierung“ eine Kennung gesandt werden (C3PO-r2d2-POE).
4. Die DLL wird vermutlich keine Funktionen exportieren und sich in DLLMain den Schadcode beheimaten.
5. Der Bundestrojaner in der 64-BIT Ausführung wird wie sein 32-BIT Bruder Interesse an den Browsern Internet Exporer, Opera, Firefox, Seamonkey, Skype, Navigator haben. Neuere Varianten enthalten sicher auch Google Chrome!
6. Der Bundestrojaner in der 64-BIT Ausführung wird wie sein 32-BIT Bruder Interesse an den Messengern/Telefonieprogrammen SIPGateXLite, Yahoomessenger, MSN Messenger etc. haben.
Sicher ließe sich die Liste noch um eine ganze Reihe weiterer Merkmale erweitern. Die aufgelisteten sind jedoch markant genug, um darauf aufbauend, eine sehr gute Erkennungsfunktion zu realisieren. Verknüpft man die Merkmale mit einem logischen UND, sprich, man setzt voraus, dass der Bundestrojaner alle Merkmale erfüllen muss, hat man zwar Chancen, ihn zu finden, aber bereits kleinere Änderungen würden genügen, um die Suche ins Leere laufen zu lassen. Wir halten alle aufgelisteten Merkmale allerdings für Kernmerkmale. Ein einzelnes dieser Merkmale genügt, um mit hoher Wahrscheinlichkeit sagen zu können, dass es sich bei dem Fund um den Bundestrojaner oder eine Variante handelt.
Copyright © 2011 – Dipl.-Ing. Patric Remus – ArchiCrypt – www.my-archicrypt.de
![[Tool] Ninja Phishing Framework](https://blog.yakuza112.org/wp-content/uploads/2013/05/phishing-190x122.jpg)
