ZeuS/ZBOT probiert Wege über eine Dateiinfektion aus

Originalartikel von Cris Pantanilla (Threat Response Engineer bei Trend Micro)


Die Malware ZeuS/ZBOT ist vor allem bekannt für ihre Routinen für den Informationsdiebstahl, wobei diese Konfigurationsdateien nutzen, die von ihren Home-Websites heruntergeladen werden. Die Kriminellen erzeugen die Routinen mithilfe von Toolkits, die eine Kontrolle der Malware aus der Ferne erlauben. Sie so aufzusetzen, dass sie Zielsysteme infizieren, ist der trickreiche Teil der Arbeit, für den die Bad Guys Drive-by-Downloads, Spam-Nachrichten, Würmer und vieles mehr ausprobiert haben. Jetzt testen sie Dateiinfektion als Weg in die Systeme.

Der Schadcode, den Trend Micro als PE_ZBOT.A identifiziert hat, fügt Code in Zieldateien ein und modifiziert ihre Eingangspunkte, um den Code umzuleiten. Damit kann die Malware ihren Code jedes Mal ausführen, wenn die infizierte Datei ausgeführt wird. Sie versucht dann, sich mit den entfernten Sites zu verbinden, woher sie die bösartigen Dateien herunterlädt und ausführt, um Informationen von den betroffenen Systemen zu stehlen. Bei den heruntergeladenen Dateien handelt es sich um TROJ_KRAP.SMDA und TSPY_ZBOT.SMAP. Sobald die Routine abgearbeitet ist, übergibt sie die Kontrolle über die betroffenen Systeme ihren Host-Dateien.

Dies zeigt, dass die Cyberkriminellen ständig neue Wege finden, um ihr schmutziges Geschäft weiter betreiben zu können. Die beste Möglichkeit, die eigenen Systeme zu schützen, bietet Anwender das Wissen über die vielfältigen Techniken der Kriminellen und der Einsatz von Sicherheitslösungen, die stets auf aktuellem Stand gehalten werden.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur die beiden Schädlinge erkennt und mithilfe der Reputationsdienste daran hindert, ausgeführt zu werden. Auch blockiert das Sicherheitsnetz mittels dem Web Reputation Service den Zugang zu bösartigen URLs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*