Neue ZeuS-LICAT-Variante aufgetaucht

Originalartikel von Joseph Cepe (Threats Analyst bei Trend Micro)

Bereits vor fast zwei Monaten hatte Trend Micro eine vollständige Analyse der Datei-Patching  ZeuS-Varianten veröffentlicht (siehe auch Whitepaper File-Patching ZBOT Variants: ZeuS 2.0 Levels Up). Doch nun gibt es ein neues LICAT-Sample, das mit seinem Command-and-Control Server über eine pseudo-zufällige Domäne kommuniziert. Diese Domäne war bei den vom ursprünglichen Algorithmus erzeugten nicht dabei, und deshalb analysierten die Sicherheitsforscher die Variante.

Die Analyse zeigte, dass das neue Muster immer noch alle ursprünglichen Routinen des Original-LICAT-Musters hatte. Beispielsweise generiert es pro Tag dieselbe Anzahl Domänen und nutzt dieselben Top-Level-Domänen. Dennoch gibt es einen entscheidenden Unterschied im Code der beiden Varianten: ein anderer XOR-Schlüssel wird verwendet. Die neue Variante nutzt 0xDEADC2DE als Schlüssel, während das Original 0xD6D7A4BE einsetzt:

Außerdem setzt die neue Variante auch mehrere Schlüssel ein. Während der Code zur Domänengenerierung der Original-LICAT-Variante denselben XOR-Schlüssel zweimal nutzte – einmal für den Ort, wo seine Konfigurationsdatei lagert und ein zweites Mal, für den Ort, wo aktualisierte Varianten automatisch heruntergeladen werden können – setzt die neue Variante unterschiedliche Schlüssel ein. Sie haben auch nicht dieselben Werte wie das Original. Damit verdoppelt sich die Anzahl der Domänen, die von den Forschern überwacht und blockiert werden muss.

Trend Micro geht davon aus, dass noch mehr LICAT-Varianten mit verschiedenen XOR-Schlüsseln in der nächsten Zeit auftauchen werden. Die neue Variante hat Trend Micro als PE_LICAT.B-O identifiziert und die gepatchten Dateien als PE_LICAT.B. Wie bereits erwähnt, unterscheidet sich ihr Verhalten nicht von dem der PE_LICAT.A-Variante.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt dank des Dateireputationsdienstes den Schädling und kann damit entsprechend umgehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*