zeichnet Audio- und Videodateien – beispielsweise von Skype – auf, durchsucht, löscht Dateien und führt Befehle aus. Die Samples, die Eset zur Untersuchung vorliegen, können zudem Tastenanschläge aufzeichnen, Audiomitschnitte vom Mikrofon und Videos vom Desktop oder der Webcam des Nutzers aufnehmen sowie bearbeitete, gelöschte oder an Drucker gesendete Dokumente stehlen. Darüber hinaus sammelt das Schadprogramm Informationen wie IP-Adresse, Computername, Nutzername, Windows-Version, Zeitzone, aktuelles Datum und aktuelle Zeit. Es handelt sich bei dieser Malware also um einen Bot, mit dem alles kontrolliert und gesammelt werden kann.
Die Installation des Staatstrojaners erfolgt entweder durch direkten, physischen Zugriff auf ein System oder wird dem Anwender als Köderdatei in einer E-Mail zugestellt. Bei der letzteren Methode wird dem Opfer beispielsweise ein vermeintlich interessantes Bild geschickt – die Malware ist im Code der Datei getarnt und wird bei Öffnen des Bildes aktiviert. Einmal ausgeführt, überprüft die Malware, ob der Rechner des Opfers bereits infiziert ist und beginnt, Dienste zu starten und Treiber bereitzustellen, die den Zugriff durch Dritte auf die Geräte des Systems ermöglichen. Die Kommunikation läuft hierbei getarnt über den Internet Explorer.
Hinzu kommt, dass das Programm sein Verhalten ändern kann, wenn es eine Sicherheitssoftware erkennt, die versucht, die Ausführung von Finfisher zu stoppen oder zu blockieren. Außerdem kann sich die Malware mittels Befehl oder zuvor eingestelltem Zeitplan selbst löschen und so eine Entdeckung vermeiden.
Die Installation des Staatstrojaners erfolgt entweder durch direkten, physischen Zugriff auf ein System oder wird dem Anwender als Köderdatei in einer E-Mail zugestellt. Bei der letzteren Methode wird dem Opfer beispielsweise ein vermeintlich interessantes Bild geschickt – die Malware ist im Code der Datei getarnt und wird bei Öffnen des Bildes aktiviert. Einmal ausgeführt, überprüft die Malware, ob der Rechner des Opfers bereits infiziert ist und beginnt, Dienste zu starten und Treiber bereitzustellen, die den Zugriff durch Dritte auf die Geräte des Systems ermöglichen. Die Kommunikation läuft hierbei getarnt über den Internet Explorer.
Hinzu kommt, dass das Programm sein Verhalten ändern kann, wenn es eine Sicherheitssoftware erkennt, die versucht, die Ausführung von Finfisher zu stoppen oder zu blockieren. Außerdem kann sich die Malware mittels Befehl oder zuvor eingestelltem Zeitplan selbst löschen und so eine Entdeckung vermeiden.
