Botnets sind nicht nur ein lukratives Geschäftsmodell der Online-Kriminalität, die gekaperten Rechner sind auch unter rivalisierenden Gruppen heiß umkämpft. Es hat immer wieder Schädlinge gegeben, die versucht haben andere Bots aus einem PC zu verdrängen, um ihn selbst zu übernehmen. Die nächste Runde wird jetzt offenbar vom Neuling Eyebot eingeläutet, der den Platzhirschen Zbot angreift.
Die Malware-Forscher von Trend Micro haben einen neuen Bot entdeckt, den sie "TSPY_EYEBOT.A" nennen. Wie Roland Dela Paz im Malware Blog des Antivirusherstellers berichtet, weist Eyebot einige Ähnlichkeiten mit Zbot (Alias: Zeus) auf. Eyebot benutzt wie Zbot Rootkit-Techniken, um sich im System zu tarnen. Eyebot spioniert Zugangsdaten wie Passwörter aus, indem es einen Key-Logger installiert. Wie Zbot überwacht es den Browser auf bekannte Web-Adressen von Banken.
Im Unterschied zu Zbot bietet Eyebot auch Backdoor-Funktionalität. Während Zbot weitgehend selbsttätig auf verseuchten Rechnern agiert, erwartet Eyebot Befehle, die aus der Ferne über eine grafische Oberfläche eingegeben werden können.
Doch Eyebot enthält auch Funktionen, die sich direkt gegen Zbot richten. Ist dieser bereits auf einem PC vorhanden, auf dem sich Eyebot einnisten will, versucht der Neuling Zbot-Prozesse zu finden und zu beenden. Er überwacht dem Speicher, um Prozesse mit einem Mutex wie "_AVIRA_" oder "_SYSTEM_" zu entdecken, die typisch für Zbot sind.
Falls die Zbot-Entwickler sich darauf einlassen und mit entsprechenden Gegenmaßnahmen reagieren, kann es zu einem neuen Botnet-Krieg kommen.
18.02.2010, 15:47 Uhr
