Das Verhalten einer Zeus-Variante wird durch eine Konfigurationsdatei festgelegt, die auf einem Kommando-Server liegt. Die Konfigurationsdateien der älteren Zeus-Versionen enthalten stets alle Ziele (Web-Adressen) von Banken und Online-Diensten. Während die neuere Version 3 des Trojaners fokussierter arbeitet.
Der Sichererheits Experte Zarestel Ferrer im CA Security Advisor Research Blog berichtet,nutzt die Version 3 des Zeus Bots eine Konfigurationsdatei, die sich nicht mehr so einfach von Sicherheitsfachleuten untersuchen lässt. Bei bei älteren Fassungen des Bots konnten die Analytiker dem Server einen Zbot vorgaukeln, um die komplette Konfigurationsdatei auszulesen, die sie dann analysieren.
In der Dritten Version des Bank Trojaners ist diese Datei durch eingeschränkte Zugriffsrechte besser geschützt. Der Bot kann nur noch auf die Ressourcen zugreifen, die er für seine Aufgabe benötigt.
Das bedeutet, dass nur noch die Web-Adressen von Banken aus den USA, Großbritannien, Deutschland und Spanien verfügbar sind. Im ersten Halbjahr 2010 waren diese vier Länder die Top-Ziele der Zeus-Malware, besonders Spanien war sehr betroffen. Die vier Länder werden nur paarweise aufgeführt - USA und Großbritannien sowie Deutschland und Spanien. Der Bot kann also nur auf Daten für zwei Länder zugreifen.
Zu den deutschen Zielen der Malware gehören nach Angaben von Ferrer etwa die Commerzbank,Deutsche Bank sowie die Dienstleister Fuducia und GAD, die für Genossenschaftsbanken wie die Volksbanken tätig sind. Die Kommando-Server der Botnetze sind meist in Russland angesiedelt.
Online-Kriminelle können zu Preisen von mehreren tausend Euro einen Zeus Bot erwerben, deren Eigenschaften sie sich nach Bedarf modular zusammen stellen können. Der Preis hängt von Art und Anzahl der Module ab.
16.07.2010 10:19 Uhr
