Threat Researcher zerren ZeuS-LICAT ans Licht

Originalartikel von Joseph Cepe (Threats Analyst bei Trend Micro)

Im Zuge der Analyse des neuen ZeuS-„Upgrades“, als LICAT bekannt, treten immer weitere Einzelheiten dazu ans Licht. Der Hauptunterschied zwischen LICAT und ZeuS besteht darin, dass das Upgrade seine Server über Domänen kontaktieren kann, die der Schädling aus dem aktuellen Datum generiert (siehe auch Blog-Eintrag Datei-Infector nutzt von DOWNAD/Conficker bekannte Technik und ZeuS legt mit LICAT nochmal nach). Wie nicht anders zu erwarten war, sind einige der so erzeugten Domänen aktiv geworden und hosten neue oder aktualisierte Versionen von LICAT- und ZeuS-Konfigurationsdateien. Die meisten dieser aktiven Domänen lassen sich auf bereits bekannte ZeuS-IP-Adressen zurückführen.

Obige Domänen werden bereits zum Hosten verschlüsselter Konfigurationsdateien genutzt, die LICAT herunter lädt, entschlüsselt und in seiner Routine für den Datendiebstahl verwendet. Die Konfigurationsdatei enthält eine Liste der Informationsarten, die gestohlen werden sollen. Es sind vor allem Anmeldedaten für Online-Transaktionen, aber auch Anleitungen dazu, wo diese hochgeladen werden können.

Darüber hinaus gibt es auch einige aktive Domänen, die LICAT- beziehungsweise ZeuS-Schädlingsvarianten hosten. Dies sind TSPY_ZBOT.BYZ und PE_LICAT.A-O. TSPY_ZBOT.BYZ nutzt auch Techniken, um der Entdeckung über automatisierte heuristische Methoden zu entgehen. Die Variante importiert im Gegensatz zur Zeus-Schadsoftware viele externe APIs. Damit ändert sich für heuristische Scanner das Erscheinungsbild der Datei, und die Chancen auf Entdeckung sinken. Weitere Unterschiede sind eine etwas andere Art der Komprimierung und Eigenschaften, die die Analyse des Schädlings in Sandbox-Umgebungen erschweren.

Die neuen Samples hatten verschiedene Hash-Summen, die über heuristische Methoden als TSPY_ZBOT.SMEQ identifiziert werden konnten. Schließlich können diese neu generierten Domänen auch einfach von anderen Cyberkriminellen registriert werden, um sie zum Verteilen weiterer Schädlinge zu nutzen. Damit entsteht eine neue Gefahr für die Anwender, denn das Infektionsrisiko erhöht sich. Deshalb sind stets aktuelle Virusdefinitionen ein Muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*