Von: Martin Rösler, Director Threat Research bei Trend Micro
Hallbergmoos, den 04. Mai 2010 - Viel ist in den letzten Monaten über das Botnetz ZeuS oder ZBOT geschrieben worden: über seine Gefährlichkeit, weil hier Kontoinformationen von Anwendern und damit deren Geld gestohlen wird, über seine Tarnfähigkeiten, die es den Sicherheitsherstellern schwer machen, Infektionen mit ZBOT zu erkennen und zu beseitigen, über seine ungeheure Wandlungsfähigkeit, die das Problem der Erkennung weiter verschärfen, sowie ganz allgemein über die Professionalisierung und Vernetzung der kriminellen Organisationen im Cyber-Untergrund. ZBOT hat sich damit einen zweifelhaften Ruf als höchst effektives Betrugswerkzeug erworben. Der mit dem Ruf einhergehende größere Bekanntheitsgrad aber scheint den Cyberkriminellen nun Schwierigkeiten zu bereiten. Denn Online-Gangs von heute scheuen nichts mehr als die Öffentlichkeit.
Die Antwort der ZBOT-Kriminellen auf die gewachsene öffentliche Aufmerksamkeit kann jedoch auch als exemplarisch gelten: Sie rüsten auf, indem sie das Profil, an dem sich die gängigen, weit verbreiteten ZBOT-Varianten erkennen lassen, insbesondere die Verwendung fester Datei- und Verzeichnisnamen, mit neuen Techniken und Taktiken zu verwischen versuchen. Es wird daher nicht allzu lange dauern, bis die neuen, vor kurzem aufgetauchten ZBOT-Varianten - zum Beispiel TSPY_ZBOT.CRM und TSPY:ZBOT.CQJ - ihre Vorgänger verdrängt haben.
Damit ist die nächste Runde des gegenseitigen Wettrüstens zwischen Cyberkriminellen und Sicherheitsindustrie eingeläutet. Der Mechanismus erinnert sehr an das Wettrüsten im Kalten Krieg, in der jede Aktion der einen Seite nicht mit derselben, sondern mit einer anderen, die jeweilige Aktion so unwirksam wie möglich machenden Maßnahme beantwortet wurde. Diesem Rüstungswettlauf scheint so lange niemand entrinnen zu können, wie die Angriffsflächen, die den ZBOT-Kriminellen für ihre Aktivitäten zur Verfügung stehen, nicht grundsätzlich verändert werden. Ein Ansatz, den Trend Micro schon seit längerem erfolgreich anwendet, ist der Einsatz von Reputationsdiensten im Trend Micro Smart Protection Network?, mit dem sich die Infektionswege für ZBOT unterbrechen lassen. Ein anderer, ergänzender Ansatz könnte das konsequente und starke Verschlüsseln von vertraulichen Informationen sein, ein Weg, den Trend Micro sicher in der Zukunft noch stärker verfolgen wird.
Weitere Informationen zu den neuen ZeuS/ZBOT-Varianten sind im deutschsprachigen Trend Micro-Blog unter http://blog.trendmicro.de/auf-einen-blick-neue-zeus-varianten/ erhältlich.
Trend Micro Deutschland GmbH
Hana Göllnitz
Zeppelinstraße 1
85399 Hallbergmoos
+49 (0) 811 88 99 0 ? 863
www.trendmicro.de
Pressekontakt:
phronesis PR GmbH
Magdalena Brzakala
Ulmer Straße 160
86156
Augsburg
brzakala@phronesis.de
08214448044
http://www.phronesis.de
X