Detekt: Neue Software gegen Überwachung veröffentlicht

Amnesty International, Digitale GesellschaftElectronic Frontier Foundation und Privacy International haben eine interessante Software von Claudio Guarnieri veröffentlicht. Detekt ist eine Software, die es sich auf die Fahnen geschrieben hat, Software aufzuspüren, die gemeinhin unter dem Label „Staatstrojaner“ zusammengefasst wird. Mit dem Tool für Windows können Anwender prüfen, ob auf ihrem Rechner Trojaner oder andere Spähprogramme aktiv sind. Bislang wird offenbar nur Windows 7 unterstützt, nicht aber Windows 8.

detekt

Die genannte Software richtet sich hauptsächlich an Aktivisten und Journalisten. Erkannt werden momentan folgende Trojaner:

* BlackShades RAT
* DarkComet RAT
* FinFisher FinSpy
* Gh0st RAT
* HackingTeam RCS
* ShadowTech RAT
* XtremeRAT
* njRAT

Die Lösung Detekt ist Open Source, kann also komplett von jedem eingesehen werden. Dennoch verweist man darauf, dass auch Detekt nicht sicherstellt, dass ein Rechner sauber ist:

Please beware that Detekt is a best effort tool. While it may have been effective in previous investigations, it does not provide a conclusive guarantee that your computer is not compromised by the spyware it aims to detect. The tool is provided as is, without warranties or guarantees of any kind.

Alexander Sander, Geschäftsführer des Digitale Gesellschaft e.V. dazu:

Mit der Software DETEKT wollen wir es Journalisten und Menschenrechtsaktivisten ermöglichen, ihre Computer nach staatlicher Überwachungs- und Schnüffelsoftware zu durchsuchen. Die Software ist ein weiteres Werkzeug für eine erfolgreiche digitale Selbstverteidigung und hilft, sich gegen den Überwachungswahn der Staaten und Regierungen zu Wehr zu setzen.

(Quelle: Netzpolitik)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

36 Kommentare

  1. kein Windows 8? Fail… sogut wie jedes Gerät was man heutzutage kauft, kommt mit Windows 8 daher.

  2. Egal für welche Windows-Version das funktioniert, die Kategorie iOS ist doch dann sicher ein Versehen, oder?

    Und bei der aktuellen Verbreitung von Win 8.x ist es doch nicht verkehrt, sich erstmal um die „Bestandskunden“ der Trojaner zu kümmern.

  3. @werkgerechtigkeit Tja, meist sind es arme Länder, mit armen Menschen in denen diese Software von Nöten ist. Und arme Menschen in armen Länder können sich wohl einfach nicht die versnobten Appleprodukte leisten. Seien stolz auf Ihre Applei und schwelgen Sie weiter in Ihrer Arroganz.

  4. @ZornsLemma
    Vielen Dank für den Hinweis, ich denke darüber im stillen Kämmerlein meiner Arroganz nach.

    Gut dass Caschy die Kategorie schon geändert hat.

    *darftrollnichtfütternmusssachlichbleiben*

  5. Ob Open Source in diesem Zusammenhang eine gute Idee ist? Wenn die Trojaner-Entwickler exakt im Code nachlesen können, woran ihre Software erkannt wird, sollte es für sie ziemlich leicht sein, Gegenmaßnahmen zu ergreifen.

  6. Deafdumbblind says:

    Wenn man der Github-Seite https://github.com/botherder/detekt glauben darf, dann funktioniert das Ganze sehr wohl unter Win8, aber nicht Win8 64Bit.

  7. Ich habe mir Detekt eben mal runtergeladen und ausgeführt: man soll alle aktiven Netzverbindungen trennen und Detekt als Administrator ausführen. Nach dem Start reagiert das Programm sehr träge und scannt irgendwas – mangels Feedback, was gerade gemacht wird (man sieht nur einen „Throbber“-Balken ohne Fortschrittsanzeige) steht man da und fragt sich, was überhaupt passiert. Nach 30 Minuten habe ich den Prozess abgebrochen; während der Ausführung hatte ich permanent > 60% CPU-Auslastung, es muss wohl irgendwas passiert sein, aber wer weiß, was.

    Sicher ist Detekt eine gute Sache, aber der Nutzer wird während des Scannens vollkommen alleine gelassen und erhält kein Feedback über den Fortschritt und weiß nicht, wie lange der Scan noch dauern wird.

  8. Deafdumbblind says:

    @Martin, bei mir (Win8) lief es anders. Nach ca 10 Sekunden erschien die Nachricht, dass vermutlich alles sauber wäre.

  9. Guten Tag !
    Win 8.1 64bit:
    Es sind Fehleraufgetreten, die das Ergebnis des Scans beeinflusst haben können:
    Du benutzt eine nicht unterstützte Version von Microsoft Windows.

  10. Klingt gut, doch leider muss ich @Martins Erfahrung teilen – man sieht weder Fortschritt noch Ergebnis o.Ä. (Win7 x64).
    Habe es aber keine 30min ausgehalten. Sehr schade.

  11. Das Ding ist wohl ein schlechter Scherz, oder ATI hilft beim Spionieren.

    Das ist das Untersuchungsergebnis meines Rechners:
    http://www.rainerullrich.de/temp/pics/detekt-ergebnis.png

    In der von detekt.exe (v1) angelegten Log-Datei finde ich unzählige Hinweise der Art:

    014-11-20 12:30:09,819 – detector – WARNING – Process MOM.exe (pid: 3812) matched: Gh0st at address: 0x57070D77, Value:

    Immer wurde „nur“ die mom.exe beanstandet. mom.exe gehört zum ATI Catalyst Grafiktreiber, der bei mir installiert ist. Eine Untersuchung von mom.exe bei Virustotal brachte 0#56 Treffer.

    Gut, dachte ich mir. Da ich ja eh ein Image gestern gemacht habe, habe ich mal den Catalyst mit allem drum und dran deinstalliert und detekt nochmal laufen lassen. Jetzt habe ich angeblich ein sauberes System.

    So, was heißt das jetzt?
    – ATI hilft beim Spionieren
    – ein klassischer Fehlalarm
    – detekt.exe ist unbrauchbar

    happy computing
    R@iner

    PS: Untersuchung hat 27 Minuten gedauert und bei mir sind unter Windows in der Betriebssystempartition ~44 GB belegt.

  12. @KChristoph
    Ehrlich jetzt? In den Posts über Dir und auf der Seite wurde schon gesagt, dass es nicht mit Win8.1 64Bit funktioniert 😉

  13. die Software bezeichnet sich selber als „ich“, auch geil 😉

  14. An Sascha:
    Ja, ich gehöre zu den Ungläubigen.

  15. Windoof 8.1 64bit: Im Windoof 7 Kompatibilitätsmodus als Administrator ausgeführt; läuft. ?
    Und das schon 5 Minuten. Bin gespannt, ob was gefunden wird.

  16. Für alle, die ein Ende nicht abwarten können. In dem Verzeichnis, wo auch die Detekt.exe gestartet wird, wird eine Datei namens detekt.log angelegt. Da könnt ihr einen Blick rein werfen, ob er ggf. schon was gefunden hat.

    Lustig. Auf einem frisch installierten System (von original Microsoft-Windows-DVD Win 7 x64 SP1u) das ich hier stehen habe, was bisher nie am Netz war (auch nicht LAN), daher auch noch keine Patches gesehen hat, sucht detekt.exe auch schon seit 50 Minuten und ist noch nicht fertig. In der Log-Datei wird bisher 3 Mal die explorer.exe als FinSpy und 2 x Njrat entdeckt.

    Sehr dubios das Teil…

    Ich hake das Teil als totale Fehlkonstruktion ab, da ich nicht glaube, dass sowohl die frische Installation bereits mit Staatstrojaner versehen ist, noch die mom.exe von ATI. Aber ich werde mal bei Gelegenheit das Netzwerk nochmal genauer anschauen.

    Wie steht in Euren detect.log-Dateien?

    happy computing
    R@iner

  17. @skyteddy

    Ich teile deine Bedenken.

    Siehe hierzu meinen Kommentar bei Netzpolitik.org:
    ____________________________________________________

    „Hier mal die Ergebnisse meiner beiden durchgeführten Scans. Im ersten Scan wurde auf einen potentiellen Fund von “Xtreme Rat” hingewiesen. Scheinbar handelt es sich hierbei jedoch nur um meinen Virenscanner (Avira AntiVir):

    http://pastebin.com/mrFWGxRD

    Auch im zweiten Durchlauf wurde angeblich “Xtreme Rat” gefunden. Avira und Firefox (mit geöffneten Tabs zum Thema “Xtreme Rat”) wurden verdächtigt:

    http://pastebin.com/iJxyvyd6

    Eine vollständige Systemprüfung mit Avira Antivir und MS Defender wurde durchgeführt. Keine Viren oder Schadsoftware gefunden. Werde es später noch mit Bitdefender und Kaspersky prüfen.

    Sieht stark / eindeutig nach Fehlalarm aus.“

  18. So, habe dann nach 1h auch abgebrochen.
    Laut LOG nichts gefunden.

  19. Auf meinem x64-Test-System hat es eben 1h20m gedauert. Außer Windows und ein paar wenige Programme ist dort nichts installiert. Auf meinem Win 7 x32-System wo jede Menge mehr Zeugs installiert ist, war er in 27 Minuten fertig. Das Ding ist in meinen Augen unbrauchbar.

  20. forestrunner says:

    Unter Kaspersky wird beim Download die exe.Datei als gefährlich eingestuft.

  21. „ERR_CONNECTION_CLOSED“ auf der Domain…

  22. Konnte auf meinem Windows 8.1 im Kompatibilitätsmodus (win7) nichts finden…
    Naja – sicher kann man nicht sein – immer schön regelmäßig tracert checken…

  23. @Joe: dass die anderen Scanner nichts finden heißt ja gerade hier nichts.
    Ansonsten listen die Macher die Performance ja unter den aktuellen issues…

  24. oh für den Mac gibt es das wohl nicht …

  25. Dumme Entwickler, läuft nicht auf Win 8.1….kann man vergessen…besser bei NSA nachfragen !!!

  26. Seit etwa einer Stunde unterstützt Detekt v1.3 auch Windows 8.1 64 bit

    https://github.com/botherder/detekt/releases/tag/v1.3

  27. Bei mir hat detekt.exe auf 2 PCs „Xtreme Rat“ gefunden.
    Auf beiden PCs sind aktuelle Bezahlversionen „AVIRA Internet Security“ und „Avast Pro Antivirus“ installiert, die seit Monaten keine Alarms gegeben haben.
    Ich habe beide auf beiden PCs eine volle Suche machen lassen, ohne Alarm auf „Xtreme Rat“.
    Außerdem habe ich auf beiden PCs die freie Version von „Malwarebytes Anti-Malware“ laufen lassen, ebenfalls ohne Alarm auf „Xtreme Rat“.
    Der ganze Spuk hat mich ca. 6 Stunden gekostet, alles für die Katz.
    Jetzt leg ich mich wieder hin.

  28. Eins muss man dem/den Entwickler(n) lassen, sie haben zwar nicht auf meine Emails reagiert, aber eine neue Version rausgebracht. Seit der V1.2 sind meine beiden Fehlalarme weg!

    Schönes Wochenende allerseits!

  29. Die neueste Version (1.3) zeigt mir jetzt „Rattenfrei“an … 🙂

  30. Intels Management Engine als laufender Prozess UNS.EXE enthält die FinSpy Signatur. Die Signatur scheint zu passen und es scheint tatsächlich mit FinSpy injected zu sein.
    Weitere Recherche ist notwendig um sicher zu sein. Das Tool taugt was, ist aber für den Endanwender nur insoweit geeignet das es kaum Informationen zum laufenden Scan rausgibt. Ich kann allen Ungeduldigen nur empfehlen das Tool wirklich komplett durchlaufen zu lassen und nicht abzubrechen. Bei mir dauert der Scan ca. 2,5 h. Das erzeugte Logfile ist aufschlussreich.

  31. Auf 2 PCs (Windows 7) habe ich aktuelle Bezahlversionen von Avira Internet Security und Avast Pro Antivirus installiert, jedoch bei den Suchläufen mit detect.exe deaktiviert.
    Die Version 1.0 von detect.exe brauchte auf beiden PCs jeweils mehrere Stunden und zeigte auf beiden Verdacht auf Xtreme Rat an.
    Die Version 1.3 war auf beiden PCs jeweils nach ca. 2 Minuten durch und zeigt keinen Verdacht an.
    Einerseits bin ich froh darüber, andererseits denke ich „seltsam“ …

  32. wie bei mir…die SOFTWARE ist SCHROTT — wegschmeissen !!!!!

  33. Hmm bei mir passiert nix weißes Bild von Detekt Win 7 / 64 Bit auch mit der neusten Verion

  34. Habe grad die aktuelle Version 1.6 laufen lassen:
    Kein Verdacht auf nichts. 🙂