Hintergrund des Angriffs
TSPY_ZBOT ist die Trend Micro Erkennung für Malware, die mit den so genannten „ZeuS-Botnetzen“ in Verbindung steht. ZeuS-Botnet ist ein verkürzter Begriff für Netzwerke kompromittierter Computer, die ZeuS/ZBOT-Trojaner für ihre Botnet-bezogenen Operationen verwenden. TSPY_ZBOT-Varianten werden in der Regel über Spam-Mails versendet, die den Anschein erwecken, von legitimen Quellen zu stammen, und die Empfänger auffordern, auf einen Link zu klicken. Der besagte Link führt zum Download von TSPY_ZBOT, der sich unbemerkt in Systeme einnistet, um darauf zu warten, dass Benutzer ihre Anmeldedaten für bestimmte Websites eingeben.
Seit 2007 überwacht Trend Micro die ZBOT-Familie. Die Zahl der ZBOT-Erkennungen ist im Laufe der Jahre erheblich gestiegen, wie die folgenden Blogeinträge zeigen:
- EYEBOT und einen möglichen Bot-Krieg im Auge behalten
- ZBOT-Variante fälscht das NIC, um andere Behörden zu spammen
- Neues ZBOT/ZeuS-Binary kommt mit einer versteckten Nachricht
- Phisher zielen auf AOL IM-Nutzer
- SASFIS zischt im Hintergrund
- Phishing unter dem Deckmantel erhöhter Sicherheit
- ZBOT zielt erneut auf Facebook
- Weiterer ZBOT-Spam-Lauf
- Bogus „Balance Checker“-Tool trägt Malware
- Werden Sie (Facebook) gephisht?
Lesen Sie hier weitere Einträge zum Thema ZBOT/ZeuS.
Bis heute hat Trend Micro über 2.000 ZBOT-Erkennungen verzeichnet und die Zahl steigt weiter.
Was ist der Unterschied zwischen ZeuS, ZBOT und Kneber?
Diese Namen beziehen sich alle auf das ZeuS-Botnet, ein etabliertes Crimeware-Botnet, das für andere bekannte Botnets in freier Wildbahn verantwortlich sein soll. Die erste nennenswerte Verwendung des ZeuS-Trojaners erfolgte durch die berüchtigte Rock Phish Gang, die für ihre einfach zu verwendenden Phishing-Seiten-Kits bekannt ist. Der Begriff „ZBOT“ ist der Erkennungsname von Trend Micro für alle Malware, die an diesem massiven Botnet beteiligt ist. Das Kneber-Botnet ist ein kürzlich geprägter Begriff, der sich auf eine spezifische ZBOT/ZeuS-Kompromittierung bezieht.
Wie gelangt diese Bedrohung in die Systeme der Benutzer?
Die Bedrohung kann als Spam-Nachricht eintreffen oder unwissentlich von kompromittierten Websites heruntergeladen werden. Die meisten ZBOT-Erkennungen zielen auf bankbezogene Websites ab. Die jüngsten Spam-Aktionen zeigen jedoch eine zunehmende Vielfalt an Zielen. Die Liste der bemerkenswerten ZBOT-Varianten umfasst TROJ_ZBOT.SVR, das für Spam an Regierungsbehörden verwendet wurde, TSPY_ZBOT.JF, das auf AIM-Benutzer abzielte, und TSPY_ZBOT.CCB, das auf die Social-Networking-Website Facebook abzielte.
Wie werden die Benutzer dazu gebracht, auf Links zu klicken?
Die Spam-Nachrichten geben in der Regel vor, von seriösen Unternehmen und neuerdings auch von Regierungsbehörden zu stammen. ZBOT-Varianten wurden auch in einem Spam-Lauf gefunden, der auf populären Ereignissen wie dem Tod von Michael Jackson aufbaut.
Was ist der Hauptzweck des ZeuS-Botnets?
Es ist in erster Linie für den Datendiebstahl oder den Diebstahl von Kontoinformationen von verschiedenen Websites wie Online-Banking, sozialen Netzwerken und E-Commerce-Websites konzipiert.
Wie verdient diese Bedrohung Geld für ihre Täter?
Sie erstellt eine Liste von bankbezogenen Websites oder Finanzinstituten, von denen sie versucht, sensible Online-Banking-Informationen wie Benutzernamen und Kennwörter zu stehlen. Anschließend überwacht er die Web-Browsing-Aktivitäten des Benutzers (sowohl HTTP als auch HTTPS) und verwendet die Titel der Browserfenster oder die URLs der Adressleiste als Auslöser für seinen Angriff. Diese Routine birgt das Risiko, die Kontoinformationen des Benutzers preiszugeben, was dann zur unbefugten Nutzung der gestohlenen Daten führen kann.
Wer ist gefährdet?
Benutzer mit ZBOT-infizierten Systemen, die sich bei einer der Zielseiten anmelden, laufen Gefahr, persönliche Informationen an Cyberkriminelle zu verlieren.
Was macht die Malware mit den gesammelten Informationen?
Sie sendet die gesammelten Informationen per HTTP POST an entfernte URLs. Cyberkriminelle können diese Informationen dann für ihre bösartigen Aktivitäten nutzen. Sie können auf Untergrundmärkten verkauft werden.
Was macht diese Bedrohung so hartnäckig?
Zusätzlich zu seinen Social-Engineering-Taktiken und den sich ständig weiterentwickelnden Spamming-Techniken erschwert ZBOT die Erkennung durch seine Rootkit-Fähigkeiten. Nach der Installation auf einem betroffenen System erstellt ZBOT einen Ordner mit den Attributen „System“ und „Versteckt“, um Benutzer daran zu hindern, seine Komponenten zu entdecken und zu entfernen. Darüber hinaus ist ZBOT in der Lage, die Windows-Firewall zu deaktivieren und sich in Prozesse einzuschleusen, um speicherresident zu werden. Er beendet sich auch selbst, wenn bestimmte bekannte Firewall-Prozesse auf dem System gefunden werden. ZBOT-Varianten tauchen auch in Daisy-Chain-Downloads auf, an denen andere Malware-Familien wie WALEDAC und FAKEAV beteiligt sind.
Was kann ich also tun, um meinen Computer vor der Bedrohung durch das ZeuS-Botnet zu schützen?
Es ist wichtig, dass Benutzer beim Öffnen von E-Mail-Nachrichten und beim Anklicken von URLs Vorsicht walten lassen. Da die Täter der ZBOT-Malware ständig neue Wege finden, um Benutzer anzugreifen, wird den Benutzern empfohlen, sichere Computerpraktiken anzuwenden.
Seien Sie vorsichtig mit Phishing-Seiten, die sich als legitime Websites ausgeben, da diese in erster Linie dazu dienen, ahnungslose Benutzer zur Herausgabe persönlicher Daten zu verleiten. Das Anklicken von Links in E-Mails, die von unbekannten Absendern stammen, ist eine der einfachsten Möglichkeiten, ZBOT-Angriffen zum Opfer zu fallen.
TSPY_ZBOT-Varianten werden derzeit von Trend Micro GeneriClean unterstützt, einer Funktion, die in den meisten Trend Micro Produkten enthalten ist. Benutzer müssen ihre Systeme manuell scannen, um dies auszulösen.
Lösungen, die vom Trend Micro™ Smart Protection Network™ unterstützt werden, blockieren den Spam, der von diesem Botnet verwendet wird, um Benutzer über den E-Mail-Reputationsdienst zu infizieren. Es kann die Ausführung bösartiger Dateien über den File Reputation Service erkennen und verhindern. Es schützt Benutzer auch vor ZBOT-Varianten, indem es den Zugriff auf bösartige Websites über den Web-Reputationsdienst sowie vor Phone-Home-Versuchen blockiert, bei denen ein infizierter Computer versucht, gestohlene Daten hochzuladen oder zusätzliche Malware von Command-and-Control-Servern (C&C) herunterzuladen.
Nutzer von Nicht-Trend Micro-Produkten können ihre Systeme auch mit HouseCall überprüfen, einem kostenlosen Tool, das alle Arten von Viren, Trojanern, Würmern, unerwünschten Browser-Plug-ins und anderer Malware auf betroffenen Systemen identifiziert und entfernt. Sie können auch das Web Protection Add-On verwenden, um ihre Computer proaktiv vor Bedrohungen aus dem Internet und Bot-bezogenen Aktivitäten zu schützen. RUBotted kann verwendet werden, um herauszufinden, ob ihre Rechner Teil eines Bot-Netzwerks sind.
Einige unserer heuristischen Erkennungen für diese Bedrohung sind MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 und MAL_ZBOT-7.
Aus der Praxis: Expert Insights
„Der jüngste Kneber-Botnet-Angriff ist nur ein weiteres Beispiel dafür, wie ZeuS-Trojaner (oder ZBOT-Dateien) eingesetzt werden. Trend Micro hat bereits im Jahr 2007 Blog-Einträge darüber veröffentlicht.
-Jamz Yaneza über den jüngsten Kneber-Angriff und den Medienrummel um das Thema
„Es ist schwierig, mit Antivirenprogrammen vorzupreschen, da ZeuS (ZBOT)-Binärdateien ständig mehrmals am Tag geändert werden, um der Erkennung zu entgehen.“
-Paul Ferguson über einen ZeuS-Angriff im September 2009, bei dem Spam-Nachrichten verwendet wurden, die angeblich vom Internal Revenue Service (IRS)