Der GPL-Skype-Trojaner

Die Nachricht tickerte sogar bis zu Slashdot durch: Ein Programmierer, ehemaliger Mitarbeiter der Schweizer Firma ERA IT Solutions, hat nun den Quelltext für ein trojanisches Pferd veröffentlicht, welcher insbesondere in der Lage ist, Skype-Telefonate mitzuschneiden und auf dem Server des Angreifers abzulegen. Sicher mit ein Grund für die Aufregung: Das Programm, das er während seiner Tätigkeit bei ERA IT erstellt hatte, hat von seinen Zügen her Ähnlichkeiten zum "Bundestrojaner".

Die Funktionalität ist an sich nichts aufregendes - trojanische Pferde gibt es (leider) zuhauf, und auch das Mitschneiden von Audio ist nicht allzu schwer. Ich habe nur einen sehr flüchtigen Blick auf den Code geworfen, aber die Datei- und Funktionsnamen lassen vermuten, daß sich das Programm als weiterer Treiber in die Treiberkette von Windows' DirectSound einschleift; zusammen mit einer Erkennung, ob gerade eine Skype-Konversation läuft, ist der "Skype-Trojaner" auch schon fast fertig.

Etwas interessanter ist jedoch das Interview mit dem Programmierer - sowohl seine Kommentare, daß Schadsoftware letztlich auch nur mit Wasser kocht, als auch seine Einschätzung zur Rechnersicherheit (angefangen vom Benutzerverhalten über Schutzsoftware bis zur Wahl des Betriebssystems).

Auf seinem Blog, auf dem er seit Februar diesen Jahres Informationen über die Veröffentlichung des Codes streute, sowie über Techniken trojanischer Pferde berichtet, schreibt er zu anfangs, daß es ihm darum ging, eine Einführung in Malware aus der Sicht eines Analysten zu bieten - die Informationen letztlich aber genauso für die Verbrechensbekämpfung wie für das Verbrechen selbst verwenden lassen können. Die tatsächlichen Informationen, die man hier findet, sind zwar interessant zusammengetragen (man findet wohl zu jedem Aspekt des nun veröffentlichten Programms einen Blogeintrag), aber fleißige Leser anderer Seiten (wie z.B. die des Internet Strom Centers) werden hier vermutlich wenig neues erfahren.

Über den Grund, wieso (und wieso jetzt) er den Code unter der GPL veröffentlicht, schweigt er sich aus. Der von ihm erwähnte Lerneffekt durch die Analyse des Codes kann es fast nicht sein - die Funktionalität ist schon fast zu gewöhnlich, außerdem sind interessante Codepassagen wie das Plugin-Konzept oder die Umgehung von Personal Firewalls aus dem Code entfernt worden (wobei es zu letzterem auch reichlich Infos im Netz gibt).

Egal, ob das von ihm beabsichtigt war oder nicht: Die Publicity ist für ihn sicherlich eine gute Werbung.

comments powered by Disqus