Funktionen des Staatstrojaners

Ich gehe mal auf die wichtigsten Details/Funktionen des Bundestrojaners ein.

Verbindung zu einem amerikanischen Server

Der Trojaner baut eine Verbindung zu einem Command&Control-Server in Amerika auf.

Dieser hat, die IP-Adresse 207.158.22.134. Der C&C-Server ist übrigens seit etwa 16:30 Uhr vom Netz genommen worden. Hat also ein ganzes Stück gedauert.

Cool, einfach den Ermittlungsdatenbestand erstmal in ein anderes Land zu transferieren

Zur Authentifizierung gegenüber dem Server sendet der Trojaner den String C3PO-r2d2-POE. Stimmt mich persönlich ein wenig Nachdenklich, so sind das doch Androiden von Star Wars - auf Seiten der Rebellen.

Verschlüsslung nur Einseitig

Die Verschlüsslung ist nur einseitig. D.h. Daten werden nur zum Server verschlüsselt gesendet. Die Befehle die der Trojaner erhält nicht. So kann man ihn übrigens auch ganz toll als "Normalbürger" den Trojaner fernsteuern.

Nachladen von Schadcode

Der Trojaner hat eine Funktion zum Nachladen und Ausführen von neuem Schadcode. Das macht die Funktion _0zapftis_file_execute(). Hier hat man auch versucht das Forken eines neuen Prozesses zu verschleiern. So ruft _0zapftis_file_execute() nach mehreren Stringverknüpfungen die Funktion CreateProcessA auf.

Das ist der ganz üble Teil der Software. Damit kann man also entgegen den Weisungen des Bundesverfassungsgerichts den Trojaner mit beliebigen Schadfunktionen erweitern. Oder einfach ein paar Dateien ablegen. Nice, oder?

Kernelmodul

Damit das Ganze nicht ganz so offensichtlich abläuft wird das Ganze mit einem Kernelmodul - also Root-Kit - ausgeliefert. Da aber Windows mit 64Bit keine unsignierten Kernelmodule nach lädt, also um genau solche Schweinereien zu verhindern, funktioniert das ganze nur auf 32Bit Windowsen.

Screenshots

Der Trojaner fertigt Screenshots des aktiven Fensters an und sendet diese an den C&C-Server. Was eigentlich verboten ist.

Killfunktionen und Audioaufnahme

Ausserdem hat der Trojaner eine Killfunktion - er löscht sich selbst in den Papierkorb (hammer ) und hat einen Codec zur Übermittlung von Audiodaten inne. Der Codec der hier verwendet wird ist Speex und eigentlich haben die Leute von Speex klar gesagt, das man den Nutzer bei Verwendung des Codecs informieren muss - nur so kleines Detail noch am Rande.

Anmerkungen zur Staatsaffäre

Hinterlassenschaften im Code

Der Trojaner kommt wohl aus Bayern. Das legt der Funktionsname _0zapftis_file_execute() nache. Ozapf is steht für Bayrisch: Es ist angezapft (Das Bierfass).

Der Autor sieht die Bürger wohl als Rebellen an, das vermute ich mal wegen dem Autorisierungsstring C3PO-r2d2-POE.

Im Programmcode steht auch noch der String 23CCC23 - war er vielleicht ein Besucher des 23. Chaos Communication Congress?

Themen waren hier unter anderem Botnets und Rootkits. Hier könnte ein Verbindung bestehen.

Klarer Verstoß gegen die Verfassung

Der Bundestrojaner ist ein klarer Verstoß gegen die Verfassung und dem Beschluss des Bundesverfassungsgerichts im Februar 2008.

Hier wurde beschlossen, dass im Falle einer Online-Durchsuchung gewährt sein muss, dass die Integrität des Systems nicht gefährdet ist.

Das kann aber bei einer Möglichkeit des Nachladens von Schadcode nicht gewährleistet werden. Auch dürften hier nicht einfach Screenshots gemacht werden, da dies nicht die Überwachung der Telekommunikation betrifft und nur dafür war die Software zugelassen.

Es wurde hier also in aller Härte und Absicht d.h.mit Vorsatz ein Verfassungsbruch begangen.