Eine kürzlich entdeckte Variante des Zeus-Bot´s sucht nach ausführbaren Dateien und injiziert die Dateien mit 512 Byte-Code. Dann ändert Zeus den entry point so dass er an der Spitze des injizierten Code ist.
Der eingeschleuste Code ist einfach und führt folgenden Aktionen aus:
Downloads a file from a URL embedded in the code.
Executes the downloaded file.
Executes the original code.
Ein Teil eines injizierten Codes
Obwohl Antivirus-Produkte die Hauptkomponente des Trojaners löschen können bleibt der Code in der infizierte Datei, so dass der Trojaner weitere Updates herunterladen kann um das System erneut zu Infizieren.
Dies ist nicht das erste Mal dass diese Methode benutzt wird,bereit´s Trojan.Downexec verwendete die gleiche Methode um Dateien zu infizieren. Unabhängig davon ist es offensichtlich dass Trojan.Zbot noch nicht fertig entwickelt ist und Nutzer weiterhin auf der Hut sein müssen um sich gegen eine Infektion zu schützen.
22.04.2010 13:43 Uhr