Bundestrojaner erkennen

Der Chaos Computer Club (CCC) hat den „Bundestrojaner“ in die Finger bekommen und eingehend untersucht. Dabei hat die Meldung weite Wellen in der Politik geschlagen, worauf ich aber nicht weiter eingehen möchte. Vielmehr möchte ich aufzeigen, wie man den „Bundestrojaner“ auf seinem System erkennen kann.

Leider gehen die Ausführungen des CCC nicht genau auf die Frage ein. Allerdings lässt sich mit Sicherheit sagen, dass unter „C:\windows\system32“ eine Datei namens „mfc42ul.dll“ liegt. Außerdem wird die Datei „winsys32.sys“ beim Start des Betriebssystems automatisch geladen. Dies soll über die AppInit-Funktion geschehen. Der Autorun-Eintrag kann aber problemlos mit dem Tool Autoruns von Sysinternal aufgespürt werden. Des Weiteren soll die Kommunikation über den Windows-Explorer stattfinden. Mit einer Firewall kann man dem Explorer aber problemlos den Zugang zum Internet verbieten.

Viele Hersteller von Antiviren-Software gaben bereits bekannt, dass ihre Software den „Bundestrojaner“ demnächst auch erkennen und wie normale Schadsoftware behandeln werden.

Nach aktuellem Kentnisstand ist der „Bundestrojaner“ lediglich unter Windows einsatzfähig. User von Linux oder Mac müssen derzeit nichts befürchten.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

18 Antworten

  1. Didi sagt:

    Hi, funktioniert das Teil auch unter Linux?

  2. Juco sagt:

    Guten Morgen,

    wenn ich diese Datei mfc42ul.dll auf dem Directory \Windows\System32 der BOOT-Partition – auch nicht versteckt -vorliegen habe, kann ich dann sicher davon ausgehen, daß ich die Schadsoftware der Bundesregierung dann noch nicht auf meinem Rechner hatte oder muß ich damit rechnen, daß inzwischen die Spuren verwischt worden sind?

    • Tobi sagt:

      Du kann nur sicher sein, dass er aktuell nicht auf deinem Rechner ist. Wie die Spuren verwischt werden oder ob sich der Bundestrojaner auf deinem Rechner befand kann ich nicht sagen.

      Sofern du aber nicht unter Verdacht einer schweren Straftat (Terrorismus) stehst, würde ich mir keine Sorgen machen.

    • Didi sagt:

      @Tobi: Da wär ich mir nicht so sicher. Heutzutage werden z. B. fernmündliche Gespräche flächendeckend abgehört. Wo kein Kläger, da kein Richter.

  3. Johan Böse sagt:

    Ist diese myteriöse dll nicht von Hause aus installiert?

  4. Sinco sagt:

    ahh puhh dann bin ich ja hoffentlich nicht mit dem virus infiziert 😀 mein rechner ist natürlich komplett mit legaler software ausgestattet versteht sich 😀

  5. Kilian sagt:

    ich habe bei start einfach mal mfc42 eingegeben und ergebnisse erhalten also 2dateien.
    heißt das jetzt ich bin infiziert oder????
    antwort wäre nettt 🙂

    • Tobi sagt:

      Nein. Zwei Dateien, deren Namen mit „mfc42“ beginnen sind bereits von Haus aus bei Windows dabei. Du musst explizit nach der Datei „mfc42ul.dll“ suchen. Zudem muss sich diese unter „C:\windows\system32“ befinden.

  6. Pall Mall sagt:

    Merkwürdig:
    Wenn der Bundestrojaner schon über so viele Jahre genutzt wird, dann müssten die Vertreiber von Virenscannern diesen schon längst entdeckt haben. Schlußfolgerung: wurden Sie etwa dazu gezwungen diesen nicht zu erkennen (zu veraten)?

  7. Kilian sagt:

    danke für die info wegen der gefundenen datei
    doch es ist doch schon erschreckend wenn man beobachtet werden kann ohne es zu wissen finde ich jetzt,…
    zudem man kauft immer virenschutzprogrammme für geld und denkt man ist geschützt und dann kommt wieder was von allen 3 seiten wovor wir nicht geschützt wären..

  8. FeliXYZ sagt:

    Das ist aber nicht euer ernst hier, oder? Bundestrojaner, und dann ist das Ganze so stümperhaft, dass man ihn an einer .dll bereits erkennen (und entsprechend entfernen) kann? Hoffe nicht, dass dies das Niveau Deutscher Softwareentwicklung darstellt!

    Seid ihr sicher, dass dies nicht ein Ablenkungsmanöver ist?

    Grüsse aus der Schweiz.

    • Tobi sagt:

      Laut neuesten Infos kam der „Bundestrojaner“ von Digitask und wurde bereits im September 2008 geliefert. Seitdem hat die Bundesregierung keine Weiterentwicklung gefordert.
      Das bedeutet aber auch, dass er über drei Jahre unentdeckt blieb. Wenn man weiß wonach man suchen muss findet man fast alles.

  9. Der Leser sagt:

    Nun, wer von euch glaubt denn das MS Programmierer und die Antivirensoft Schreiber KEINE Hintertürchen für Regierungen etc offenlassen? So blöd kann doch keiner sein das zu glauben.
    Ähnliche Soft in Superqualität war Jahrelang in Deutschland UNENTDECKT auf vielen Rechnern, hieß NETBUS. Man konnte sogar die Maus auf dem gekaperten Screen bewegen, das CD Fach öffnen und schließen, Full Control bis hin zu 1:1 Bildübertragung. Damals redete keiner von Bundestrojaner. Als das Ding bekannt wurde, konnte man mit dem Gegenpart, dem Controllerprogram, in SEKUNDEN zig TAUSEND Rechner per IP Scan finden. Heute wird es nicht anders sein.

  10. Carola sagt:

    Hallo …. Ich denke ich hab ihn mir „eingefangen“ aber ich habe an meinem laptop einen Schlater, mit dem ich das Internet austellen kann. Eigentlich kann der Virus mir dann nichts mehr anhaben oder ?

    • Tobi sagt:

      Wenn du ihn hast kannst du Windows gar nicht mehr benutzen. Sofern du dich also noch anmelden kannst hast du den Virus bzw. Trojaner noch nicht. Aber wenn du Bedenken hast, lass einfach mal den Virenscanner durchlaufen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.