Ein neues Botnet betritt die Bühne

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Es gibt ein neues Botnet, das die Sicherheitsforscher von Trend Micro als TSPY_EYEBOT.A identifiziert haben. Bestimmte Verhaltensweisen von EYEBOT lassen laut Experten darauf schließen, dass es mit ZBOT zu einem Bot-Krieg kommen könnte, ähnlich den Kriegen zwischen den Würmern NETSKY und MYDOOM. EYEBOT ist zwar noch ein Anfänger, doch falls die Kriminellen hinter ZBOT beschließen zu antworten, wäre ein solcher Kampf nicht ausgeschlossen.

Beide Botnetze nutzen Rootkit-Technologie, wobei EYEBOT eher wie ein „Backdoor“ agiert. Die neue Spyware weist ähnliche Routinen auf wie die Zeus-Variante ZBOT, die als die gefährlichste Malware bezüglich des Diebstahls von Informationen und Identitäten gilt. EYEBOT stiehlt mithilfe von Keyloggging Kontozugangsinformationen. Außerdem hinterlässt die Spyware eine Konfigurationsdatei ähnlich der von ZBOT für die Überwachung von Banken-Websites genutzten. EYEBOT verwendet Rootkit-Technologie, um die bösartigen Dateien und Prozesse vor den betroffenen Nutzern zu verstecken und einer Entdeckung zu entgehen.

Die Spyware stammt aus Russland und dient auch als Server für eine grafische Benutzerschnittstelle – der augenscheinlichste Unterschied zu den ZBOT-Varianten. Während diese normalerweise Standalone-Programme darstellen, muss EYEBOT Befehle eines böswilligen Nutzers entgegen nehmen. Damit agiert der Neuling eher wie ein typisches Backdoor-Programm, das Cyberkriminellen Zugang zu den betroffenen Systemen verschafft.

Einen weiteren Unterschied macht die Fähigkeit aus, von ZBOT angestoßene Prozesse zu beenden. Eine nähere Analyse der Binärdatei zeigt, dass die Spyware darauf ausgerichtet ist, bekannte ZBOT-Mutexe, _AVIRA_ and __SYSTEM__ zu monitoren.

Das Smart Protection Network von Trend Micro schützt Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mithilfe der Web-Reputationsdienste den Zugang zur bösartigen Site http://{BLOCKED}antibot.net/bload/bin/build.exe blockiert, wo die Spyware herunter geladen werden könnte. Über die Dateireputations-Services entdeckt das SPN die Datei (TSPY_EYEBOT.A) und verhindert deren Ausführung auf betroffenen Systemen. Diejenigen, die keine Trend Micro-Produkte im Einsatz haben, können sich mithilfe des kostenlosen Tools Web Protection Add-On schützen. Das Addon blockiert in Echtzeit den Zugriff der Nutzer auf potenziell bösartige Websites.

3 Gedanken zu „Ein neues Botnet betritt die Bühne

  1. Pingback: Trend Micro: Warnung vor neuem Botnetz

  2. Pingback: Trend Micro warnt vor neuem Botnetz | Deutschflüsterer

  3. Pingback: Trend Micro warnt vor neuem Botnetz » markus-arlt.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*