MegaPanzer

MegaPanzer ist eine Spionagesoftware, die für den Einsatz auf Microsoft Windows XP programmiert wurde. Hergestellt und vertrieben wurde die Software von der Schweizer Firma ERA IT Solutions AG. Die Spionagesoftware wurde als Trojanisches Pferd auf ein System eingeschleust, wo sie sich einnistete.

MegaPanzer
Aliase	Trojan.Peskyspy, Troj/Skytap-Gen
Bekannt seit	Juli 2009
Erster Fundort	Schweiz
Weitere Klassen	Spyware, Govware
Autoren	ERA IT Solutions AG
Speicherresident	nein
System	MS Windows XP
Programmiersprache	C/C++
Info	Spionagesoftware zum Abhören von Skype-Gesprächen.

Eigenschaften und Funktionen

MegaPanzer nistete sich in Form eines Trojanischen Pferdes auf einem System ein. Um unentdeckt zu bleiben, werden Firewalls und Antiviren-Software durch die Software gezielt deaktiviert^[1]. Die Aufgabe der Spyware ist es die unverschlüsselten Gesprächsdaten von Skype-Anrufen aufzuzeichnen. Mittels DLL-Injection greift die Schadsoftware die Gesprächsdaten ab^[2] und speichert diese anschließend verschlüsselt auf dem infizierten System in einer Datei ab. Besteht eine Verbindung mit dem Internet, werden die Sprachpakete an einen externen Server übertragen, der unter der Kontrolle der Ermittlungsbehörde steht.

MegaPanzer ist in Module gegliedert, die Skype-Gespräche, das Mikrofon und die Webcam^[3][4] überwachen. Ein Sicherheitsmodul versteckt die SpyWare mithilfe eines Rootkits vor Antivirus-Software^[5] und es deaktiviert lokal installierte Firewall-Software^[6].

Einsatz der Software

Es wurde nachgewiesen, dass diese Software mehrfach vom Deutschen Zoll und vom Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) der Schweizer Regierung eingesetzt wurde^[7][8].

Veröffentlichung des Quellcodes

Im August 2009 wurde der Quellcode der Überwachungssoftware durch den vormaligen Entwickler veröffentlicht. Nach dessen Aussage habe er die Urheberrechte der Überwachungs-Software von ERA IT Solutions zurückerhalten^[9], worauf kurz darauf die Veröffentlichung folgte.

Nach der Veröffentlichung erstellten Antiviren-Unternehmen Erkennungs-Signaturen und registrierten den Trojaner unter dem Namen "Trojan.PeskySpy". Es konnten Aktivitäten durch Antiviren-Unternehmen festgestellt werden, die auf eine Nutzung des publizierten Quellcodes deuten^[10][11].

Weblinks

Commons: MiniPanzer and MegaPanzer – Sammlung von Bildern, Videos und Audiodateien

• ERAIT (englisch) – Seite im Buggedplanet- Wiki der Überwachungsbranche