Der
ZeuS-Trojaner und seine Verwandten („Zbot“, „PRG“, „Wsnpoem“ und andere) treiben im Netz bereits seit 2007 ihr Unwesen. Der Trojaner ist darauf spezialisiert, Online-Banking-Daten auszuspionieren. Dabei fängt er entweder die Tastenanschläge auf einem infizierten PC ab („keylogger“) oder er liest Formulardaten aus dem Browserfenster aus. Die Daten übermittelt er dann an die Internet-Server der Kriminellen. Über die aktuell entdeckten ZeuS Command&Control-Server informiert der
ZeuS-Tracker.
Trend Micro hat jetzt eine neue Variante des ZeuS-Trojaners entdeckt, die sich vor allem durch einen veränderten Verschlüsselungs-Algorithmus auszeichnet. ZeuS verwendet Informationen aus verschlüsselte Konfigurationsdateien, um mit dem Server der Hintermänner zu kommunizieren und der Trojaner verschlüsselt seinen eigene Schadcode. Die vom Trojaner erzeugten Dateien sehen daher auf jedem PC anders aus und tragen auch andere Namen. Die bisher verwendete Verschlüsselungsmethode war den Herstellern von Sicherheits-Software jedoch bekannt. Nach der Entschlüsselung ließ sich sogar die eigene De-Installationsroutine des Trojaners nutzen, um die Schadsoftware automatisch zu beseitigen. Der neue Verschlüsselungs-Algorithmus ist bisher noch nicht geknackt. Das macht es der Antiviren-Software besonders schwer, die Infektion zu entdecken und zu beseitigen.
ZeuS ist ein internationaler Trojaner. Sein Ziel sind vor allem Bank-Daten aus den USA, Spanien, Brasilien, Deutschland, Belgien, Frankreich, Italien und Irland. Aber auch der asiatische Raum scheint für die Computer-Kriminellen interessant zu werden. Neuerdings sind auch Kunden der HSBC Hong Kong betroffen.
„Die neuen ZeuS-Varianten zeigen deutlich, dass ZeuS immer noch ein sehr profitables Stück Malware ist und dass Cyberkriminelle fortwährend Energie auf die Weiterentwicklung des durchgesickerten ZeuS-Quellcodes verwenden. Wir werden diese Bedrohung kontinuierlich beobachten.“ heißt es im
Trend Micro-Blog.