Neue Zeus-Variante verhöhnt AV-Hersteller

Originalartikel von Jonell Baltazar (Advanced Threats Researcher bei Trend Micro)

Die Sicherheitsforscher von Trend Micro stießen kürzlich auf ein neues ZBOT/Zeus-Binary, das sie als TROJ_ZBOT.BTM identifizierten.

ZBOT/Zeus-Varianten sind bekannt dafür, Bankinformationen ihrer Opfer über Soical-Engineering-Taktiken — etwa Spam, bösartige Links auf Mitglieder sozialer Netzwerke sowie kompromittierte legitime Sites — zu stehlen. Beispiele dafür sind unter anderem die Angriffe auf Facebook im Dezember.

Doch neben den üblichen Taktiken für den Datendiebstahl umfasst diese neue Variante des Trojaners eine versteckte Nachricht, in der die Kriminellen sich bei Avira und Kaspersky AV für die gute Zeus-Erkennung „bedanken“, die dafür “sorgt”, dass sie sich “anstrengen müssen”, immer neue Zeus-Updates zu erstellen. Verhöhnt werden zudem auch Sophos und Eset Nod32 für eine schlechte Erkennungsrate. Besagte Nachricht wird jedoch erst sichtbar, wenn die Binärdatei (Version 1.3.3.3) sich entpackt und in die Hauptspeicher des Opfersystems kopiert hat. Diese Nachricht zeigt, dass Cyerkriminelle über Systeme verfügen, die die Leistung der AV-Hersteller hinsichtlich der Erkennung ihrer „Kunstwerke“ überprüfen, und auch dass sie permanent ihre Software ändern, um der Entdeckung zu entgehen.

Trend Micros Smart Protection Network schützt die Anwender mithilfe der Webreputationsdienste vor dieser Gefahr, indem das Content-Sicherheitsnetzwerk den Zugriff auf diese bösartige Site blockiert, http://{BLOCKED}p.com/consc/cons.exe, wo die Binärdatei heruntergeladen werden könnte. Auch verhindert es über den Dateireputationsdienst die Ausführung der Datei auf betroffenen Systemen. User, die keine Trend Micro-Produkte einsetzen, können sich mithilfe eines kostenlosen Tools wie Web Protection Add-On schützen. Dieses Werkzeug blockiert den Zugriff auf potenziell bösartige Websites in Echtzeit.

Anlässlich des Safer Internet Day 2010 startet Trend Micro den Wettbewerb „Kunst gegen Cybercrime“. Weitere Informationen dazu finden Sie hier.

Ein Gedanke zu „Neue Zeus-Variante verhöhnt AV-Hersteller

  1. Björn Friedrich

    Mal ganz abgesehen von der Gefährlichkeit dieses speziellen Botnetzes – Zeus stiehlt zum Beispiel Bankinformationen insbesondere von Nutzern sozialer Netzwerke wie Facebook – deckt der Hohn der Cyberkriminellen ein fundamentales Problem auf, mit dem die Sicherheitsindustrie zu kämpfen hat:

    Offensichtlich verfügen Cyberkriminelle über Systeme, mit denen sie die Leistung der Security-Hersteller hinsichtlich der Erkennung ihrer Schadsoftware überprüfen können. Mehr noch: Sie können sogar die Dienste anerkannter Spezialisten im Markt nutzen, um ihre Schadprogramme so zu konzipieren, damit sie möglichst lange unentdeckt bleiben. Dies zeigt auch eindrücklich ein Bericht auf wired.com zu Datei-Scanning-Services für Virenautoren. Dienste wie av-check.com und virtest.com werben offen mit Scanning-Services, die Viren gegen 22 Antiviren-Produkte checken, wobei sie garantieren, anders als die offiziellen Scanning-Dienste, die Ergebnisse nicht an die Antiviren-Community weiter zu geben. Nicht nur Viren sondern auch so genannte „Exploit Packs“ für gehackte oder bösartige Websites lassen sich hier testen, um zu sehen, ob sie Alerts auslösen. Aufgrund dieser Tests können die Kriminellen noch gezielter ihre Malware mit immer neuen Versionen ersetzen und sicherstellen, dass sie in keiner Signaturdatenbank auftauchen.

    Fazit: Anwender können sich bei der Wahl ihrer Anti-Malware-Software nicht auf Ergebnisse der herkömmlichen Tests verlassen, die ihnen mit Erkennungsraten von nahezu 100 Prozent Sicherheit vorgaukeln. Zudem treten viele Internet-Bedrohungen als zielgerichtete, kombinierte Angriffe auf, sodass das Sammeln einzelner Exemplare praktisch unmöglich wird. Herkömmliche Virenerkennungsprozesse werden außerdem durch den grundlegenden Unterschied zwischen Viren und neu auftretenden Internet-Bedrohungen an ihre Grenzen geführt. Mit dem Auftauchen von Internet-Bedrohungen hat sich Malware von einem Ausbruchsmodell zu einer schleichenden, „ruhenden“ Infektion entwickelt, die mit herkömmlichen Schutztechnologien schwieriger zu erkennen ist.

    Neue, auf Reputationstechnologie beruhende Anti-Malware-Systeme sind heute gefragt, denn sie reduzieren die Abhängigkeit von herkömmlichen Pattern-Datei-Downloads und verhindert Verzögerungen, die bei Desktop-Updates oft auftreten. Die neuesten Bedrohungen werden gesperrt, bevor sie den Benutzer oder das Unternehmensnetzwerk erreichen. Das Trend Micro Smart Protection Network beispielsweise überprüft URLs, E-Mails und Dateien anhand ständig aktualisierter und miteinander verknüpfter Bedrohungsdatenbanken im Internet.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>