Antiviren-Software versagt beim Staatstrojaner

Spätestens seit Montag schlagen alle Viren-Scanner Alarm, wenn man den vom CCC enttarnten Trojaner auf seinen Rechner laden will. Wer jedoch glaubt, er wäre damit vor der Spionage-Software im Staatsauftrag geschützt, der irrt sich gewaltig. Antiviren-Software hat kaum Chancen gegen derartige Schädlinge; einige der Alarmmeldungen waren sogar richtige Dummies.

Noch am Samstagvormittag erkannte kein einziges AV-Programm die Dateien als Gefahr. Mittlerweile melden die meisten etwas mit "Backdoor.R2D2" , wenn sie auf eine der vom CCC bereitgestellten Dateien treffen. Das soll Vertrauen bei den Anwendern schaffen.

In einem Test am Montag von heise Security stellte sich jedoch heraus, dass unter anderem Ikarus, Panda, Trend Micro und McAfee schon nach einer minimalen Änderung an der Datei keinen Alarm mehr gaben. Wir ersetzten dazu lediglich das große O in der Zeichenkette "DOS" durch ein kleines. Vorher meldete etwa McAfee die Datei mfc42ul.dll noch als Artemis!930712416770, nach der Änderung blieb es stumm.

Es ist kein Zufall, dass es da gerade drei prominente Fürsprecher von "In the Cloud"-Erkennung erwischt hat. Primitive Cloud-Erkennung arbeitet nämlich nur mit Hash-Werten der fraglichen Dateien. Und die ändern sich schon dann, wenn sich in einer Datei nur ein einziges Bit ändert. Da der CCC die veröffentlichten Dateien bereits vorab verändert hatte, springen diese Signaturen nicht einmal auf die unveränderten, wirklich eingesetzten Originale an. Und selbst wenn der Hersteller die Hashes aller beim CCC eingegangenen Trojaner in seine Datenbank aufgenommen hat – die Trojaner-Versionen, die einem anderen Fall zugeordnet sind, tragen andere Fallnummern und wahrscheinlich auch andere Versionsnummern. Richtige Signaturen, die auch geringfügig modifizierte Varianten erkennen, lieferten Ikarus, Panda, Trend Micro und McAfee zum Teil erst mehrere Tage nach den anderen Herstellern.

Doch auch solche lokalen Signaturen lassen sich einfach austricksen, wie Online-Banking-Betrüger tagtäglich beweisen. Und ganz offenbar sind auch die Heuristiken, mit denen die Hersteller unbekannte Schädlinge entdecken wollen, der Aufgabe nicht gewachsen. Sonst hätten diese ja schon vor der Veröffentlichung des CCC Alarm schlagen müssen. Dass sie das nicht taten, liegt wohl unter anderem daran, dass der Staatstrojaner auf viele Dinge verzichtet, die bei den aktuellen 08/15-Trojanern der Betrüger zum Standardrepertoire gehören. So versucht er nicht, sich in Browser einzuklinken, er liest keinen verschlüsselten https-Verkehr mit und er betätigt sich auch nicht als Spam-Schleuder.

Die CCC-Analyse zeigt auch, wie der Trojaner die verbliebenen, verdächtigen Aktivitäten wie das Starten einer aus dem Netz nachgeladenen Datei an der Heuristik vorbeimogelt. Er zerlegt den Verweis auf die dafür genutzte Funktion des Windows-APIs in die Fragmente "Crea" + "teProc" + "essA" und setzt die erst zur Laufzeit in das verräterische "CreateProcessA" zusammen.

Bleibt als letzte Hoffnung der verunsicherten Anwender die Verhaltenserkennung. Prompt beteuern die AV-Hersteller auch bereits reihenweise, versagt habe ja nur die statische Signatur- und Heuristik-Erkennung. Bei einem Versuch, den Trojaner auf einem System tatsächlich zu starten, würde natürlich sofort die Verhaltenserkennung zuschlagen, vernimmt man. Ob dem wirklich so ist, werden wir leider nicht erfahren. Denn der CCC hat nur nur die statische Erkennung getestet. Und nachträglich lassen sich derartige Tests nicht mehr sinnvoll durchführen, weil sich die jetzt anspringende Signatur-Erkennung nicht allein abschalten lässt.

Allerdings sind durchaus Zweifel angebracht, ob eine Verhaltenserkennung tatsächlich präventiv schützen würde. Zu untypisch ist das Verhaltensmuster des Staatstrojaners, der nur bei wenigen Prozessen überhaupt aktiv wird. Und Programme wie Skype gehören nicht zu den typischen Zielen von Schädlingen wie Zeus, SpyEye & Co. Wenn überhaupt, würde ein Virenwächter wohl am ehesten beim Ausführen des Installationsprogramms Verdacht schöpfen. Und auch das hilft nicht wirklich, wenn der Trojaner – wie im bis jetzt einzigen dokumentierten Fall – bei einer Zollkontrolle installiert wird. Dabei könnte der Beamte im Zweifelsfall die Spionage-Software auch gleich in die Ausnahmeliste der AV-Software eintragen. Vor einem solchen Szenario schützt am ehesten eine Komplettverschlüsselung des Notebooks mit Pre-Boot-Authentifizierung.

Überhaupt kann man Staatstrojaner nicht wirklich mit den massenhaft verbreiteten Schädlingen vergleichen. Sie ähneln eher den Maßanfertigungen, die für Einbrüche und Spionage in Unternehmen zum Einsatz kommen. In beiden Fällen handelt es sich um Spionageprogramme, die gezielt für einen bestimmten Zweck entwickelt werden und die nie große Verbreitung finden. Und ähnlich viel Schutz bietet AV-Software auch vor dieser Gefahr – nämlich nahezu gar keinen. Die jetzt nachgereichten Signaturen sind eher ein Feigenblatt als ein Schild. Wer also sicher sein will, dass derartige Schnüffelei nicht in seine digitale Privatsphäre vordringt, die ihm das Verfassungsgericht zubilligt, darf sich nicht auf die Technik verlassen, sondern muss jetzt auf politische Konsequenzen drängen. (ju)