Bundestrojaner: MFC42UL.DLL

: 09. Oktober 2011

Wo versteckt sich der Bundestrojaner? Chaos Computer Club: Sicher können wir sagen, daß bei der Infektion zwei Komponenten installiert wurden: eine Windows-DLL im Userland c:\windows\system32\mfc42ul.dll sowie ein Windows-Kernel-Modul namens winsys32.sys.

von Dirk Weckerle

Ist der eigene Rechner vom Kriminalamt inifiziert? Wie findet man den Bundestrojaner auf seinem Rechner? Wühlen die Überwachungsbehörden bereits auf deinem Computer? Der Chaos Computer Club gibt dazu folgende Anweisung:

Sicher können wir sagen, daß bei der Infektion zwei Komponenten installiert wurden: eine Windows-DLL im Userland c:\windows\system32\mfc42ul.dll sowie ein Windows-Kernel-Modul namens winsys32.sys. Das Laden und Ausführen des DLL-Codes wird über den Registry-Key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs realisiert, das Kernel-Modul wird über einen Windows-Kernel-Modul-Service vom Betriebssystem geladen.

Das Kernel-Modul liegt in Form einer unsignierten 32-bit-Datei vor. Es kann daher in dieser Form nur auf einem 32-bit-Windows funktionieren. Uns liegen keine Erkenntnisse vor, ob es auch eine 64-bit-Version gibt. Dies wäre daher interessant, da 64-bit-Versionen zwangsläufig signiert sein müssen. Über die Signatur könnte man eventuell Rückschlüsse auf den Urheber der Software ziehen.

Wie gelangt der Trojaner auf den Rechner?

CCC: Wir haben keine Erkenntnisse über das Verfahren, wie die Schadsoftware auf dem Zielrechner installiert wurde. Eine naheliegende Vermutung ist, daß die Angreifer dafür physischen Zugriff auf den Rechner hatten. Andere mögliche Verfahren wären ähnliche Angriffe, wie sie von anderer Malware benutzt werden, also E-Mail-Attachments oder Drive-By-Downloads von Webseiten. Es gibt auch kommerzielle Anbieter von sogenannten Infection Proxies, die genau diese Installation für Behörden vornehmen.

Welche Gefahr stellt der Bundestrojaner dar?

Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können.

Windows Benutzer:

Einfach im eigenen Rechner nach "mfc42ul.dll" und "winsys32.sys" suchen. (Achtung nicht verwechseln mit win32.sys) Viele Computernutzer sind bereits fündig geworden.

Mehr Infos: staatstrojaner-report23.pdf

Wissen macht reich: Vertrauliche Börsen-News im MM-Club

Neue Videos:

Marlene Dietrich in "Der blaue Engel" - 1. deutscher Tonfilm: YouTube

blog comments powered by DISQUS back to top

Börse 24h

Börsen News

Dax legt deutlich zu - Gute Anzeichen Richtung Dezember

Dax bewegt sich am Mittag ins Plus - MTU vorn

Dax startet etwas schwächer - Weihnachtsrally ungewiss

Dax legt zu - Anleger trotz Wall-Street-Pause glücklich

Bitcoin News

Das beliebteste Passwort der Deutschen ist 123456

Die Bitcoin-Explosion

iGaming Webseiten mit Kryptowährungen: Wie funktioniert es?

Wie haben digitale Wirtschaften moderne Marktplätze beeinflusst?

Wie Kryptowährungen deutsche Casinos verändern

Spenden an MMnews

BTC:
bc1qwfruyent833vud6vmyhdp2t2ejnftjveutawec

BCH:
qpusq6m24npccrghf9u9lcnyd0lefvzsr5mh8tkma7 Ethereum:
0x2aa493aAb162f59F03cc74f99cF82d3799eF4CCC

Net-Tipps

Alternativer Newsticker

Bitcoin News

Top Videos

Videos: Relax-Kanal

Aktuelle Presse

Grüne fordern Amtsverzicht von FDP-Migrationsbeauftragtem Stamp

Nach den jüngsten FDP-Rücktritten infolge des "D-Day"-Ausstiegsszenarios wird aus der Grünen-Bundestagsfraktion die Forderung nach einer Amtsaufgabe des Migrationsbeauftragten Joachim Stamp [ ... ]

BSW will Wahlprogramm am 12. Januar in Bonn beschließen

Das Bündnis Sahra Wagenknecht (BSW) trifft sich am 12. Januar zu seinem Bundesparteitag im "World Conference Center (WCCB)" in Bonn. Dort soll das Programm für die Bundestagswahl 2025 beschlossen [ ... ]

Grüne planen Sonderparteitag am 26. Januar in Berlin

Die Grünen planen für den 26. Januar einen Sonderparteitag. Die "außerordentliche Bundesdelegiertenkonferenz" soll im City Cube in Berlin stattfinden, teilte die Partei am Freitag mit. [ ... ]

Bericht: Bund plant Änderung der Bedingungen für Beamtenstatus

Die Bundesregierung plant in diesem Jahr offenbar noch die Veränderung der sogenannten Bundeslaufbahnverordnung. Die Ausnahmen für die Notwendigkeit von Stellenausschreibungen sollen erweitert [ ... ]

Habeck übt Kritik an Scholz und sich selbst

Grünen-Kanzlerkandidat und Bundeswirtschaftsminister Robert Habeck übt Kritik an sich selbst - aber auch an der Attacke von Kanzler Olaf Scholz (SPD) auf Finanzminister Christian Lindner (FDP) [ ... ]

Grüne drängen wegen EU auf rasche Umsetzung von Cyber-Gesetzen

Nachdem die EU-Kommission gegen Deutschland ein Vertragsverletzungsverfahren wegen zwei nicht umgesetzter Cyberschutz-Richtlinien eingeleitet hat, fordern die Grünen Konsequenzen. Die entsprechenden [ ... ]

Junge Social-Media-Nutzer kritisieren Instagram und Tiktok

An Instagram, Tiktok und YouTube kommen die meisten jungen Menschen nicht vorbei: 91 Prozent der 16- bis 39-Jährigen nutzen regelmäßig mindestens eines der Netzwerke. Das ergab die dritte [ ... ]

MMnews Suche

Artikel+Inhaltsuche