Kaspersky Lab: 'Federalni Trojanac' nemačke policije je 'Veliki brat' u zaraženom računaru

Vesti, 20.10.2011, 09:28 AM

Trojanac koga je nemačka policija koristila za presretanje internet telefonskih poziva ima mogućnost nadzora 15 programa, uključujući browser-e i programe za chat.

Ovo je zaključak do koga su posle analize spornog softvera došli stručnjaci Kaspersky Laboratorije. Trojanca koji je poznat pod nazivima 0zapftis, Bundestrojaner ili R2D2 najpre je analizirala poznata nemačka hakerska zajednica Chaos Computer Club (CCC) koja je tada došla do zaključka da je primarna meta ovog malware-a bio Skype. CCC je imao pristup samo DLL fajlu i kernel drajveru “federalnog Trojanca”, dok su se u Kaspersky Laboratoriji bavili analizom instalacionog fajla Trojanca čiji je naziv “scuinst.exe” i kojeg su detektovali i blokirali Kaspersky antivirusni programi.

Trojanac ima pet komponenti od kojih svaka ima različitu funkciju, a Kasperky Laboratorija je analizirala svaku od komponenti ponaosob.

Tilman Verner iz nemačkog ogranka Kaspersky Laboratorije izdvaja dva zanimljiva otkrića do kojih su došli stručnjaci kompanije. Najpre, verzija Trojanca koju su analizirali nije dizajnirana samo za 32-bitne sisteme, već ima podršku i za 64-bitne verzije Windows-a. Drugo otkriće je još zanimljivije. Lista procesa nad kojima Trojanac vrši monitoring je značajno duža od one koja je spomenuta u izveštaju CCC. Čak 15 programa zaraženih Trojancem mogu biti predmet nadzora.

Među ovim programima nalaze se poznati browser-i kao što su Internet Explorer, Firefox i Opera, programi sa VoIP i funkcionalnošću kodiranja podataka, kao što su ICQ, MSN Messenger, Yahoo Messenger, Skype, Low-Rate VoIP, CounterPath X-Lite i Paltalk.

Na 32-bitnim Windows sistemima Trojanac koristi kernel mod rootkit-a koji nadgleda određene procese i ubacuje svoj kod u njih. Međutim, na 64-bitnim sistemima, sistemski drajver Trojanca je mnogo jednostavniji i nema funkcionalnost infekcije procesa već samo služi kao interfejs za pristup registry bazi ili sistemskim fajlovima.

Trojanac koristi sertifikat koji je objavio Goose Cert 11. aprila ali taj sertifikat mora biti instaliran a njegova pouzdanost potvrđena, jer nije na osnovnoj Microsoft-ovoj listi sertifikata. To nije bio problem za policiju koja je instalirala Trojanca tokom carinske kontrole ili sličnih provera.

Iz Kaspersky Labooratorije kažu da su prozvodi kompanije heuristički detektovali Trojanca i blokirali ga i pre nego je kod bio analiziran a signature dodate. Međutim, zaštitni softver nije od pomoći ako neko sa strane ručno da dozvolu da program bude izuzetak. Zato je najbolje rešenje za sprečavaje takve vrste intervencije od spolja korišćenje lozinke za zaštitu antivirusne konfiguracije, što je mogućnost koju nudi većina antivirusnih programa.