Das bei Kriminellen beliebte Botnetz-Toolkit ZeuS bekommt offenbar einen Konkurrenten: SpyEye. Die neueste Version des vermutlich aus Russland stammenden SpyEye Toolkits bringt laut Analyse von Symantec sogar eine Option mit, auf infizierten Windows-PCs einen eventuell vorhandenen Zeus-Banking-Trojaner zu elimineren. Das Toolkit ermöglicht dem Nutzer der Botnet-Software eine Individualisierung seiner Bots, wobei er vor einem Build-Prozess neben einem Schlüssel zur verschlüsselten Kommunikation auch den Pfad zu einem Command&Control-Server angeben kann.
Die Beschreibung von Symantec verdeutlicht, wie einfach es für Kriminelle mittlerweile ist, andere Anwender auszuspionieren. SpyEye bringt einen Formgrabber mit, der Inhalte von Webformularen ausliest – dazu gehören auch die etwa vom Browser auf bestimmten Seite automatisch eingetragenen Nutzernamen und Passswörter. SpyEye kann zudem POP3-Mail-Verkehr, FTP-Verkehr und Daten bei Logins auf Webseiten mitlesen.
Der Bot wird beispielsweise per Mails an Opfer verteilt. Der Command&Control-Server ermöglicht zudem über eine komfortable Bedienoberfläche Daten von Bots zu sammeln sowie weitere Dateien mit Schadcode auf die Bots zu laden. Zwar machen es moderne Toolkits auch dem weniger befähigten Kriminellen offenbar leicht, allerdings gibt es trotzdem Fallstricke. Mitte 2009 zerstörte sich ein 100.000 ZeuS-Bots umfassendes Netz selbst – möglicherweise aufgrund einer Fehlbedienung.
Auch preislich macht das in Untergrundforen angebotene SpyEye-Toolkit dem ZeuS-Toolkit Konkurrenz. ZeuS wird zwischen 400 und 700 US-Dollar verkauft, SpyEye ist für 500 US-Dollar zu haben. Virenautoren konkurrieren seit Längerem um die Kontrolle von Windows-PCs. Während Würmer sich erstmals 2004 bekriegten, war ein Kampf um das größte Botnetz verschiedener Virenbastler erstmals 2007 zu beobachten. Zuletzt rangelten die Bot-Herder von Srizbi, Mega-D, Rustock, Pushdo und dem Sturmwurm um die größten Stücke vom Spam-Kuchen. ZeuS und SpyEye sind hingegen reine Datendiebstahl-Bots, die nativ keine Funktionen zum Versenden von Spam enthalten.
News-Meldung vom 10.02.2010 12:20