Auf einen Blick: Neue ZeuS-Varianten

Originalartikel von Vincent Cabuag (Threat Response Engineer bei Trend Micro)

Das ZeuS/ZBOT-Botnet ist schon seit langem fester Bestandteil des Cybercrime-Geschäfts und entwickelt und verbessert sich ständig weiter. Angesichts der sehr großen Zahl an Toolkit-Versionen (Bausatzprogramme), die im Untergrund sofort verfügbar sind, wehren sich die Eigenschaften, die ZeuS besitzt, auch weiterhin erfolgreich sowohl gegen Antivirus- als auch andere Sicherheitslösungen und machen die Anstrengungen der Sicherheitsindustrie zunichte.

Dieses Mal macht die Schadsoftware ihrem berühmt-berüchtigten Ruf mit einer neuen Version, die mit den bereits bekannten Varianten TSPY_ZBOT.CRM und TSPY_ZBOT.CQJ in Verbindung stehen, zweifelhafte Ehre.

ZBOT-Varianten stehlen Kontozugangsdaten, wenn Anwender bestimmte soziale Netzwerke, Online-Shops und Banken-Websites besuchen. Die Varianten sind sehr schnell zu beliebten Werkzeugen der Cyberkriminellen geworden, und zwar dank der außergewöhnlichen Routinen zum Diebstahl von Informationen und der Rootkit-Eigenschaften, mit denen es ihnen möglich ist, unentdeckt zu bleiben und die Systeme von Anwendern ohne deren Wissen zu befallen.

Weit verbreitete ZBOT-Varianten nutzen feste Dateinamen (sowohl für ihre ausführbaren als auch Komponenten-Dateien). Zwar können die Dateinamen von einer ZBOT-Version zur anderen variieren, dennoch sind sie den Sicherheitsanalysten bekannt.

Dies trifft allerdings nicht für die neuen, oben genannten ZBOT-Varianten zu. Anstatt vordefinierte Namen zu nutzen, verwenden sowohl TSPY_ZBOT.CRM als auch TXPY_ZBOT.CQJ zufallsgenerierte Namen für die Dateien und Verzeichnisse, die sie erstellen. Darüber hinaus fügt ZBOT jetzt seinen Code in Windows-Prozesse ein (wie z.B. in den Dateiexplorer-Prozess), was frühere Varianten nicht getan haben. Diese beiden Versuche der Cyberkriminellen, das ZBOT-Profil zu verwischen, sind eine direkte Antwort auf den Bekanntheitsgrad der Schadsoftwarefamilie, was umgekehrt bedeutet, dass die ZBOT-Schadsoftware jetzt ein bisschen leichter zu entdecken ist.

Die verborgenen Änderungen der ZBOT-Varianten sind jedoch ungleich bedeutsamer. Denn die neuen ZBOT-Varianten fügen sich in die folgenden Prozesse ein:

  • ctfmon.exe
  • explorer.exe
  • rdpclip.exe
  • taseng.exe
  • taskhost.exe
  • wscntfy.exe

Aus dieser Liste wird ersichtlich, dass die neue ZBOT-Version jetzt sowohl Windows Vista als auch Windows 7 „unterstützt“. Taskeng.exe und Taskhost.exe sind Prozesse, die in Windows Vista und Windows 7 anzutreffen sind, hingegen in älteren Versionen wie Windows XP fehlen. (In älteren ZBOT-Versionen konnte der Support für Windows Vista und Windows 7 als separates Add-on erworben werden.)

Die Änderungen in den verwendeten Dateinamen und der Einstieg in den offiziellen Support für Windows Vista und Windows 7 verdeutlichen die Tatsache, dass die ZBOT-Entwickler mit den Veränderungen Schritt halten und ihre Taktiken entsprechend anpassen. Kurzfristig werden ältere ZBOT-Varianten weiterhin die Masse der Infektionsbedrohungen ausmachen. Jedoch wird es nicht lange dauern, bis die neuen Varianten eine größere Verbreitung finden.

 Das Trend Micro Smart Protection Network™ bietet Anwendern Schutz vor Angriffen dieser Art im Zusammenhang mit ZeuS, indem es die bösartigen Dateien entdeckt und daran hindert, auf den Systemen ausgeführt zu werden. Die Anzahl der Angriffe, die das Smart Protection Network in den vergangenen Monaten verhindert hat, spiegelt auch der Puls des ZeuS Botnetkonglomerats wider;

2 Gedanken zu „Auf einen Blick: Neue ZeuS-Varianten

  1. Pingback: Anonymous

  2. Pingback: ZBOT: Nächste Runde des Wettrüstens zwischen Cyberkriminellen und Sicherheitsindustrie - datensicherheit.de Informationen zu Datenschutz und Datensicherheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*