Bundestrojaner: MFC42UL.DLL

: 09. Oktober 2011

Wo versteckt sich der Bundestrojaner? Chaos Computer Club: Sicher können wir sagen, daß bei der Infektion zwei Komponenten installiert wurden: eine Windows-DLL im Userland c:\windows\system32\mfc42ul.dll sowie ein Windows-Kernel-Modul namens winsys32.sys.

von Dirk Weckerle

Ist der eigene Rechner vom Kriminalamt inifiziert? Wie findet man den Bundestrojaner auf seinem Rechner? Wühlen die Überwachungsbehörden bereits auf deinem Computer? Der Chaos Computer Club gibt dazu folgende Anweisung:

Sicher können wir sagen, daß bei der Infektion zwei Komponenten installiert wurden: eine Windows-DLL im Userland c:\windows\system32\mfc42ul.dll sowie ein Windows-Kernel-Modul namens winsys32.sys. Das Laden und Ausführen des DLL-Codes wird über den Registry-Key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs realisiert, das Kernel-Modul wird über einen Windows-Kernel-Modul-Service vom Betriebssystem geladen.

Das Kernel-Modul liegt in Form einer unsignierten 32-bit-Datei vor. Es kann daher in dieser Form nur auf einem 32-bit-Windows funktionieren. Uns liegen keine Erkenntnisse vor, ob es auch eine 64-bit-Version gibt. Dies wäre daher interessant, da 64-bit-Versionen zwangsläufig signiert sein müssen. Über die Signatur könnte man eventuell Rückschlüsse auf den Urheber der Software ziehen.

Wie gelangt der Trojaner auf den Rechner?

CCC: Wir haben keine Erkenntnisse über das Verfahren, wie die Schadsoftware auf dem Zielrechner installiert wurde. Eine naheliegende Vermutung ist, daß die Angreifer dafür physischen Zugriff auf den Rechner hatten. Andere mögliche Verfahren wären ähnliche Angriffe, wie sie von anderer Malware benutzt werden, also E-Mail-Attachments oder Drive-By-Downloads von Webseiten. Es gibt auch kommerzielle Anbieter von sogenannten Infection Proxies, die genau diese Installation für Behörden vornehmen.

Welche Gefahr stellt der Bundestrojaner dar?

Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können.

Windows Benutzer:

Einfach im eigenen Rechner nach "mfc42ul.dll" und "winsys32.sys" suchen. (Achtung nicht verwechseln mit win32.sys) Viele Computernutzer sind bereits fündig geworden.

Mehr Infos: staatstrojaner-report23.pdf

Wissen macht reich: Vertrauliche Börsen-News im MM-Club

Neue Videos:

Marlene Dietrich in "Der blaue Engel" - 1. deutscher Tonfilm: YouTube

blog comments powered by DISQUS back to top

Börse 24h

Börsen News

Dax bewegt sich am Mittag ins Plus - MTU vorn

Dax startet etwas schwächer - Weihnachtsrally ungewiss

Dax legt zu - Anleger trotz Wall-Street-Pause glücklich

US-Rechtssystem als Game Changer: Warum deutsche DOGSA-Aktionäre vor US-Gerichten bessere Karten haben

Bitcoin News

Das beliebteste Passwort der Deutschen ist 123456

Die Bitcoin-Explosion

iGaming Webseiten mit Kryptowährungen: Wie funktioniert es?

Wie haben digitale Wirtschaften moderne Marktplätze beeinflusst?

Wie Kryptowährungen deutsche Casinos verändern

Spenden an MMnews

BTC:
bc1qwfruyent833vud6vmyhdp2t2ejnftjveutawec

BCH:
qpusq6m24npccrghf9u9lcnyd0lefvzsr5mh8tkma7 Ethereum:
0x2aa493aAb162f59F03cc74f99cF82d3799eF4CCC

Net-Tipps

Alternativer Newsticker

Bitcoin News

Top Videos

Videos: Relax-Kanal

Aktuelle Presse

Grüne drängen wegen EU auf rasche Umsetzung von Cyber-Gesetzen

Nachdem die EU-Kommission gegen Deutschland ein Vertragsverletzungsverfahren wegen zwei nicht umgesetzter Cyberschutz-Richtlinien eingeleitet hat, fordern die Grünen Konsequenzen. Die entsprechenden [ ... ]

Junge Social-Media-Nutzer kritisieren Instagram und Tiktok

An Instagram, Tiktok und YouTube kommen die meisten jungen Menschen nicht vorbei: 91 Prozent der 16- bis 39-Jährigen nutzen regelmäßig mindestens eines der Netzwerke. Das ergab die dritte [ ... ]

Beschluss des Ältestenrates: Bundestag reduziert sein Programm

Der Ältestenrat des Bundestages hat am Freitag in einer Sondersitzung entschieden, die Zahl der bisher geplanten Sitzungswochen bis zur geplanten Neuwahl des Bundestages deutlich zu reduzieren. Das [ ... ]

Julia Krittian neue hr-Programmdirektorin

Die bisherige MDR-Chefredakteurin Julia Krittian übernimmt am 1. Dezember als Programmdirektorin des Hessischen Rundfunks (hr). Das teilte der Sender am Freitag mit. Die Journalistin übernimmt [ ... ]

Cordula Stratmann offen für Rückkehr als Annemie Hülchrath

Die Komikerin Cordula Stratmann könnte sich vorstellen, wieder als Annemie Hülchrath aufzutreten. "Ich würde einer Einladung folgen, wenn jemand fragte: Willste nochmal", sagte sie der "Rheinischen [ ... ]

Bund kann Flüssiggaslieferungen aus Russland nicht ausschließen

Die Bundesregierung schließt nicht aus, dass russisches Gas weiter nach Deutschland gelangt. "Für die Anlandung von russischem Flüssig-Erdgas (LNG) gibt es in der Europäischen Union [ ... ]

Linke kritisiert "Arbeitsverweigerung" des Bundestages

Die Pläne von Union, SPD, Grünen und FDP, im kommenden Jahr drei von vier Sitzungswochen des Bundestags bis zur Neuwahl ausfallen zu lassen, stoßen auf Widerstand. "Wir werden uns verfassungsrechtlich [ ... ]

MMnews Suche

Artikel+Inhaltsuche