Sicherheit
Neue Version des Banking-Trojaners ZeuS
von
Thorsten
Eggeling - 03.09.2011
Nachdem der ZeuS-Quellcode für jedermann im Internet verfügbar ist, war es nur eine Frage der Zeit bis neue Varianten auftauchen. Die Virenexperten von Trend Micro haben jetzt einen gefährlichen Ableger des Banking-Trojaners entdeckt.
Der ZeuS-Trojaner und seine Verwandten („Zbot“, „PRG“, „Wsnpoem“ und andere) treiben im Netz bereits seit 2007 ihr Unwesen. Der Trojaner ist darauf spezialisiert, Online-Banking-Daten auszuspionieren. Dabei fängt er entweder die Tastenanschläge auf einem infizierten PC ab („keylogger“) oder er liest Formulardaten aus dem Browserfenster aus. Die Daten übermittelt er dann an die Internet-Server der Kriminellen. Über die aktuell entdeckten ZeuS Command&Control-Server informiert der ZeuS-Tracker.
Trend Micro hat jetzt eine neue Variante des ZeuS-Trojaners entdeckt, die sich vor allem durch einen veränderten Verschlüsselungs-Algorithmus auszeichnet. ZeuS verwendet Informationen aus verschlüsselte Konfigurationsdateien, um mit dem Server der Hintermänner zu kommunizieren und der Trojaner verschlüsselt seinen eigene Schadcode. Die vom Trojaner erzeugten Dateien sehen daher auf jedem PC anders aus und tragen auch andere Namen. Die bisher verwendete Verschlüsselungsmethode war den Herstellern von Sicherheits-Software jedoch bekannt. Nach der Entschlüsselung ließ sich sogar die eigene De-Installationsroutine des Trojaners nutzen, um die Schadsoftware automatisch zu beseitigen. Der neue Verschlüsselungs-Algorithmus ist bisher noch nicht geknackt. Das macht es der Antiviren-Software besonders schwer, die Infektion zu entdecken und zu beseitigen.
ZeuS ist ein internationaler Trojaner. Sein Ziel sind vor allem Bank-Daten aus den USA, Spanien, Brasilien, Deutschland, Belgien, Frankreich, Italien und Irland. Aber auch der asiatische Raum scheint für die Computer-Kriminellen interessant zu werden. Neuerdings sind auch Kunden der HSBC Hong Kong betroffen.
„Die neuen ZeuS-Varianten zeigen deutlich, dass ZeuS immer noch ein sehr profitables Stück Malware ist und dass Cyberkriminelle fortwährend Energie auf die Weiterentwicklung des durchgesickerten ZeuS-Quellcodes verwenden. Wir werden diese Bedrohung kontinuierlich beobachten.“ heißt es im Trend Micro-Blog.
So können Sie sich schützen
Der ZeuS-Trojaner verbreitet sich vor allem über Spam-E-Mails. Der Betreff der E-Mails ist meist geschickt formuliert und das Anschreiben ist oft in fehlerfreiem Deutsch abgefasst. Meist geht es um Lizenzschlüssel und Zahlungen für online gekaufte Software oder andere Produkte. Der Benutzer wird aufgefordert, weitere Infos anzufordern und Dateien herunterzuladen. Werden diese geöffnet, erfolgt die Infektion des Rechners. Öffnen Sie also keine E-Mail-Anhänge von unbekannten Absendern und lassen Sie sich nicht zum Download von Software aus unbekannten Quellen verleiten.
Der ZeuS-Trojaner verbreitet sich vor allem über Spam-E-Mails. Der Betreff der E-Mails ist meist geschickt formuliert und das Anschreiben ist oft in fehlerfreiem Deutsch abgefasst. Meist geht es um Lizenzschlüssel und Zahlungen für online gekaufte Software oder andere Produkte. Der Benutzer wird aufgefordert, weitere Infos anzufordern und Dateien herunterzuladen. Werden diese geöffnet, erfolgt die Infektion des Rechners. Öffnen Sie also keine E-Mail-Anhänge von unbekannten Absendern und lassen Sie sich nicht zum Download von Software aus unbekannten Quellen verleiten.
