ZeuS- und Azvhan-Bots bei der Arbeit

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro) und Patrick Estavillo (Threats Analyst bei Trend Micro)

Der kommerzielle Betrieb von Botnetzen stellt mittlerweile eine der größten Sicherheitsbedrohungen dar, weil sie häufig immensen wirtschaftlichen Schaden anrichten. Die berüchtigte ZeuS-Crimeware etwa ist vor allem darauf ausgerichtet, die Zugangsdaten für Online-Banking von Nutzern zu stehlen. Zum „Standardverhalten“ der ZeuS/ZBOT Trojaner gehört das Herunterladen einer Konfigurationsdatei, welche Informationen zu dessen Bot-Routinen enthält, etwa Zielseite, URLs für den Download aktualisierter Eigenkopien oder URLs, an die die gestohlenen Daten gesendet werden sollen sowie URLs für den Download zusätzlicher Backup-Konfigurationsdateien.

Kürzlich sind ZeuS-Varianten aufgetaucht, deren Standard-Konfigurationsdatei eine verdächtige Liste von URLs für das Herunterladen von Backup-Konfigurationsdateien führt.

Obige Liste stammt von einer ZeuS-Variante, die Trend Micro als TSPY_ZBOT.BVQ identifiziert hat. Diese Liste scheint länger zu sein als die anderer typischer ZeuS-Varianten und die Domänennamen sind atypisch. Eine Überprüfung ergab, dass alle diese URLs bereits nicht mehr zugänglich und die meisten Domänen nicht registriert sind. Auch umfasst die URL-Liste nicht {BLOCKED}ikal.com mit der Ablagebereiche und den aktualisierten Kopien. Ablagebereiche, aktualisierte Kopien und Konfigurationsdateien liegen eigentlich typischerweise in derselben Domäne. Die Überprüfung des Malware-Codes selbst ergab, dass der Schädling seine Hauptkonfigurationsdatei von http://{BLOCKED}ikal.com/eu5.bin lädt.

Die Erklärung dafür ist, dass die Kriminellen, die ZeuS nutzen, mit diesen falschen Konfigurationsdateien es den Security Researchern erschweren wollen, Informationen über ihre Aktivitäten zu sammeln. Auch zeigt sich, dass die neueren ZeuS-Varianten nicht mehr in einer virtuellen Maschine ablaufen, sodass die Researcher mehr Mühe aufwenden müssen, um ZeuS-Samples in tatsächlichen Windows-Umgebungen zu testen. Weiterführende Informationen zu ZeuS gibt es in dem Report „Zeus and Its Continuing Drive Toward Stealing Online Data” oder auch in dem Whitepaper „ZeuS – A Persistent Criminal Enterprise“.

Eine weitere, seit April bekannte Bot-Familie ist Avzhan (Mal_Scar-1). Diese Bots installieren sich selbst in einem Windows System-Directory unter dem Dateinamen {six random lower-case letters}.exe. Danach löschen sie ihre Ursprungskopie und führen die installierte Kopie aus. Der Bot registriert sich als Dienst, der auf jedem System-Startup ausgeführt wird:



Diese Malware versucht, sich mit den folgenden Domänen zu verbinden, um Anweisungen von den Botnet-Betreibern zu erhalten:

  • avzhan1.{BLOCKED}2.org
  • ei0813.{BLOCKED}2.org
  • wanmei8013.{BLOCKED}2.org
  • xhsb.{BLOCKED}2.org


Diese Domänennamen sind bei einem wohlbekannten chinesischen dynamischen DNS-Service registriert. Auch die IP-Adressen führen zu chinesischen ISPs. Wie alle typischen Botnet Zombies kann auch Mal_Scar-1 verschiedene Befehle eines Command & Control Servers ausführen, einschließlich dem Herunterladen und Ausführen möglicherweise bösartiger Dateien. Auch die komplette Übernahme des Nutzersystems ist möglich.

Zusätzlich stiehlt der Schädling auch bestimmte Informationen über das betroffene System, die Teil der Daten sind, die an die Botnet-Server zurück gesendet werden. Dazu gehören der Computernamen, CPU-Leistung, Sprache, Größe des Hauptspeichers sowie die Windows-Version. Das eigentliche Verhalten des Azvhan-Bots unterscheidet sich nicht sehr von dem älterer, etablierter Malware-Familien. Doch zeigt das Auftauchen dieses neuen Botnetzes die kontinuierliche Weiterentwicklung der Malware – denn die stetige Forschungsarbeit der Sicherheitsanbieter zeigen Wirkung auf die Machenschaften der Kriminellen. Diese wiederum müssen sich immer neues einfallen lassen, um die Analysen ihres Codes zu erschweren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*