t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon

Menü Icont-online - Nachrichten für Deutschland
Such Icon
HomeDigitalAktuelles

ZeuS-Trojaner überlistet Virenscanner


ZeuS-Trojaner überlistet Virenscanner

t-online, Jens Müller und Andreas Lerg

Aktualisiert am 18.09.2011Lesedauer: 3 Min.
Zeus besiegt viele Virenscanner.Vergrößern des BildesZeus besiegt viele Virenscanner. (Quelle: imago-images-bilder)
Auf Facebook teilenAuf x.com teilenAuf Pinterest teilen
Auf WhatsApp teilen

Seit Monaten treibt der Trojaner ZeuS bereits sein Unwesen im Internet und räumt reihenweise Online-Banking-Konten leer. Eigentlich sollte sich die Schadsoftware mit Virenjägern abwehren lassen, doch viele Anti-Virus-Programme scheitern an dieser Aufgabe. Denn Baukasten-Trojaner ZeuS tarnt geschickt seine Spuren.

Der Trojaner ZeuS gilt als einer der derzeit gefährlichsten Online-Banking-Trojaner. Denn obwohl die Schadsoftware seit Monaten bekannt ist und ihr Quellcode im Internet einsehbar ist, überlistet ZeuS reihenweise Virenscanner. Denn mittels eines Baukasten-Prinzips, zufällig generierten Dateinamen und einer integrierten Update-Funktion ist der Trojaner nur schwer zu finden. Viele Gratis-Virenscanner sind gegen ZeuS förmlich machtlos, wie das deutsche Fachmagazin c't in der aktuellen Ausgabe meldet. Die Experten empfehlen den Einsatz einer weiteren Schutz-Software wie ThreatFire, um nicht Opfer des raffinierten Konto-Plünderes zu werden.

Trojaner ZeuS wählt zufällige Aufenthaltsorte

Viele herkömmliche Anti-Virus-Programme setzen auf signaturbasierte Scans, das heißt, die Virenjäger durchforsten das Betriebssystem nach Fingerabdrücken der Schadsoftware. Doch diese hinterlässt ZeuS in der Regel nicht. Der Trojaner nistet sich nach der Installation unter zufällig generierten Dateinamen im Windows-Ordner "Anwendungsdaten" ein. Das simple Löschen der Dateien reicht nicht aus, denn auch für die Einträge in der Windows-Registry verwendet ZeuS laut c't zufällige Werte, die er zudem fünfmal pro Sekunde neu anlegt.

Gratis-Tool spürt ZeuS auf

Und genau darin liegt der Schwachpunkt von ZeuS. Denn ein Windows-Prozess, der in sich in dieser Häufigkeit in die Registry einträgt und in regelmäßigen Abständen mit einem Internet-Server kommuniziert, macht sich verdächtig. Die Verhaltenserkennung moderner Virenscanner sollten dies bemerken. In den Tests der c't bewährte sich vor allem ThreatFire gegen den ZeuS-Trojaner und bremste ihn mehrfach aus. Die Autoren empfehlen daher, das kostenlose Programm zusätzlich zu einem Virenscanner zu installieren, da es lediglich mit der notwendigen Verhaltenserkennung arbeitet.

ZeuS Fingerabdruck ändert sich permanent

Für die Analyse zerpflückte die c't mehr als 50.000 Zeilen Programmcode von Zeus. Der Trojaner ist aus einer Reihe von Modulen aufgebaut, die einzeln angepasst und verändert werden können. Das bedeutet, dass sich ZeuS fortlaufend verändert. Die Hintermänner des Trojaners ändern über automatische Updates der verwendeten Module jederzeit den Fingerabdruck der Schadsoftware und umgehen damit herkömmliche Virenscanner und deren Signaturen.

Sparkassen-Baustein für 60 Dollar

Die Zusatzmodule, Webinjects genannt, schieben Opfern von ZeuS manipulierte Online-Banking-Seiten im Browser unter, selbst bei verschlüsselt übertragenen Seiten. Damit sammelt der Trojaner PIN und TAN von Bankkonten ein. Das Webinject für das Online-Banking der deutschen Sparkassen beispielsweise kostet etwa 60 US-Dollar und lässt sich für weitere 20 Dollar anpassen, so die c't. Mit seinen Grundfunktionen sammelt ZeuS zusätzlich etwa Zugangsdaten für Webmail-Seiten, überwacht Tastatureingaben und überträgt Bildschirmfotos der Opfer-PC an seine Hintermänner.

ZeuS-Trojaner perfekt für den virtuellen Bankraub

So lässt sich mit ZeuS, der erstmals 2006 auftauchte, große Beute machen. Im Oktober des letzten Jahres fassten ukrainische Behörden eine Bande, die mit Hilfe des Zeus-Trojaners über 51 Millionen Euro erbeutete. Eine entdeckte Mutation des Zeus-Trojaners fängt sogar mTAN ab und überlistet so das vermeintlich sichere Online-Banking-Verfahren. Das sind Transaktionsnummern zur Autorisierung von Banküberweisungen, die per SMS an das Handy eines Bankkunden verschickt werden. Trotz der Analyse und der Tipps der c't wird der Kampf gegen ZeuS weitergehen und die kriminellen Hintermännern, die ihre Kommentare im Software-Code auf russisch verfassen, dürften noch zahlreiche Konten leerräumen.

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

t-online - Nachrichten für Deutschland


TelekomCo2 Neutrale Website