Skip to content

Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...

Geschrieben von Carsten Eilers am um 11:45

Zeus, manchmal auch ZBot genannt, ist eine besonders weit verbreitete und sehr vielfältiger Schädlingsfamilie mit sehr einnehmenden Wesen: Hauptaufgabe der Schädlinge ist das Sammeln von Zugangsdaten, insbesondere zum Onlinebanking. Und Zeus ist nicht einfach nur ein Schädling, sondern ein Baukastensystem, mit dem sich Cyberkriminelle einen Schädling nach eigenen Vorstellungen zusammenstellen können.

Schädling mit langer Ahnenreihe

Die ersten Schädlinge aus der Zeus-Familie wurden schon im Jahr 2006 entdeckt. Erstmals allgemein aufgefallen ist eine Zeus-Variante 2007, als damit Daten des U.S. Department of Transportation und einiger US-Unternehmen ausgespäht wurden. Im Laufe der Zeit entwickelte sich Zeus zum beliebtesten Schädlingsbaukasten ("Crimeware Toolkit"). Symantec hat dessen Funktionen 2009 in einem Video zusammengefasst.

Eine weitere ausführliche Beschreibung wurde im Blog von McAfee veröffentlicht.

Infektionswege

Zeus kann auf vielen Wegen auf einen Rechner gelangen. Z.B. verschicken von Zeus aufgebaute Botnets Mails mit einer Trojaner-Variante des Schädlings, die sich z.B. als Mails von verschiedenen Behörden, Paketdiensten, Social Networks oder Banken tarnen, auf ein peinliches Foto des Empfängers hinweisen oder ein Tool zur Reparatur der Mailbox sein sollen oder eine bunte Mischung von Subject-Zeilen (noch mehr) verwenden. Mindestens einmal wurden auch Mails als Köder verwendet, in denen vor Zeus gewarnt wurde.

Kompromittierte Server, in der Vergangenheit z.B. Adserver, die Website der Communist Party Of Britain und Server von TechCrunch Europe (weitere Informationen), haben Zeus-Varianten im Rahmen von Drive-by-Infektionen verbreitet. Mitunter wird Zeus aber auch einfach zum Download angeboten, z.B. als angebliches MySpace Update Tool als Ergänzung zu einem Phishing-Angriff, oder von Fake-Virenscannern nachgeladen.

Eine Trojaner-Variante will die auch von Stuxnet ausgenutzte Shortcut-Lücke ausnutzen, geht dabei aber sehr merkwürdige Wege. Und auch von Dateiinfektionen wie ein herkömmlicher Virus macht Zeus Gebrauch. Der eingefügte Code lädt eine Datei von einem im Code enthaltenen URL und führt erst die heruntergeladene Datei und dann den Originalcode der befallenen Programmdatei aus. Der Vorteil für Zeus dabei: Selbst wenn ein Virenscanner den Trojaner (d.h. die heruntergeladene Datei) entdeckt und löscht, bleibt die infizierte Datei (hoffentlich) unentdeckt und führt bei ihrem Aufruf durch den Benutzer zu einer erneuten Infektion des Systems.

Mit anderen Worten: Es gibt kaum einen Weg, auf dem Zeus nicht versucht, auf einen neuen Rechner zu gelangen. Nur auf die Nutzung der AutoRun-Funktion für USB-Sticks haben die Entwickler zumindest bisher verzichtet.

Die Schadfunktionen

Zeus enthält mehrere Schadfunktionen: Wie oben schon erwähnt besteht die Hauptaufgabe des Schädlings im Ausspähen von Informationen, vor allem Zugangsdaten zum Onlinebanking. Dabei ist nichts vor seinem Zugriff sicher, wenn er sich erst mal auf einen Rechner eingenistet hat: In Webformulare eingegebene Daten werden als Man-in-the-Middle (bzw. -Browser) ausgespäht, im Rahmen eines Phishing-Angriffs können statt einer angesurften Seite eine gefälschte Seite von einem Server der Cyberkriminellen angezeigt oder in die vorhandene Seite zusätzliche Felder eingefügt werden, und ein Keylogger protokolliert Tastendrücke. Außerdem werden der Inhalt des Clipboards und Screenshots ebenso an die Cyberkriminellen geschickt wie der Inhalt des Windows Protected Storage, auf dem Rechner vorhandene Zertifikate und die Zugangsdaten für POP3- und FTP-Verbindungen.

Die Konfiguration des Trojaners erfolgt über eine nachgeladene Datei, über die die Cyberkriminellen sowohl festlegen können, wohin die Daten geschickt werden als auch, welche Daten überhaupt gesammelt werden sollen. Außerdem kann der Schädling auf diesem Wege auch mit einer neuen Version von sich selbst versorgt werden.

Außerdem wird eine Backdoor installiert und der Rechner in ein Botnet integriert, so dass der Rechner dann z.B. zum Versand von Mails zum Verbreiten des Schädlings eingesetzt werden kann.

Zeus - nicht ein Botnet, sondern viele

Da es nicht "den" Zeus-Schädling gibt, gibt es auch nicht "das" Zeus-Botnet. Stattdessen gibt es eine große Anzahl mehr oder weniger großer separater Botnets. Und deren Anzahl schwankt mitunter stark, z.B. wenn ein Provider für Command&Control-Server vom Internet abgeschnitten wird. Und auch die Aufnahme von Zbot in Microsofts Malicious Software Removal Tool im Oktober 2010 kostete die Botnets etliche Mitglieder. Das ist natürlich manchmal verwirrend, und wenn man dann so einem Botnet einen neuen Namen gibt, z.B. 'Kneber', dann kann das in den Medien schon mal zu Meldungen wie "Broad New Hacking Attack Detected" führen. Auch, wenn eigentlich die einfache Regel “Kneber” = Zeus gilt, wie Kevin Haley von Symantec es treffend auf den Punkt brachte - Kneber ist nur ein Zeus-Botnet unter vielen. Brian Krebs hat den Medien-Hype um dieses 'Kneber'-Botnet sehr passend zusammengefasst und kommentiert: ZeuS: ‘A Virus Known as Botnet’.

Die Command&Control-Server der Zeus-Botnets werden übrigens vom ZeuS Tracker auf abuse.ch erfasst.

In der nächsten Folge geht es um die weitere Entwicklung von Zeus.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Zeus - Die Entwicklung eines Dauerbrenners
Zeus-Sourcecode im Internet aufgetaucht
Zeus wird mobil - jetzt auch auf Android
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Heute im Angebot: Links statt Text

Vorschau anzeigen
Liebe Leser, leider gibt es heute keinen "Standpunkt"-Text zu mehr oder weniger aktuellen Ereignissen. Ich hatte leider keine Zeit zum Schreiben eines ausführlichen Texts. Aber dafür gibt es einige Links zu Texten, die mir in der vergang

Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!

Vorschau anzeigen
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Sma

Dipl.-Inform. Carsten Eilers am : Digitale Schutzimpfung

Vorschau anzeigen
Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden? Virensc

Dipl.-Inform. Carsten Eilers am : Gefährliche Peripherie: USB

Vorschau anzeigen
Auch über Angriffe über den USB-Port habe ich bereits 2005 in About Security etwas geschrieben. Damals war das Podslurping ein relativ neuer Angriff: Wenn ein präparierter USB-Massenspeicher, z.B. ein iPod, an einen Rechner angeschl

Dipl.-Inform. Carsten Eilers am : Zeus, Carberp und Khelios - Drei Schläge gegen Botnets

Vorschau anzeigen
Es ist mal wieder Zeit, einen Blick auf die verschiedenen Botnets zu werfen. Denen geht es zur Zeit an den Kragen. Zumindest einigen, und zumindest teilweise. Microsoft gegen Zeus-Botnets Microsofts "Digital Crimes Unit" hat gemeinsam mit

Dipl.-Inform. Carsten Eilers am : Flame? - Kein Grund zur Panik!

Vorschau anzeigen
Der neue Schädling "Flame" sorgt für Panik in den Medien, dabei besteht dafür eigentlich keinerlei Grund. Warum, erfahren Sie hier. Was ist an Flame so besonders? Flame ist... Im folgenden werde ich mich nach den "Questions an

Dipl.-Inform. Carsten Eilers am : Links mit etwas Senf

Vorschau anzeigen
Mein Standpunkt heute: Ich nähere mich meinen Schmelzpunkt, und darum fällt der übliche Standpunkt heute aus. Stattdessen gibt es eine kommentierte Linkliste. Brian Krebs: ‘Booter Shells’ Turn Web Sites into Weapons

Dipl.-Inform. Carsten Eilers am : Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr

Vorschau anzeigen
Heute gibt es Kommentare und Neuigkeiten... ... zu einem Java-Exploit Brian Krebs berichtet, dass auf dem Schwarzmarkt ein Exploit für eine bisher unbekannte Schwachstelle in Java angeboten wird. Vermutlich dürften die Entwick

Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!

Vorschau anzeigen
Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen

Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS

Vorschau anzeigen
Nach der allgemeinen Beschreibung der Zwei-Faktor-Authentifizierung geht es nun um bekannte Implementierungen und Angriffe darauf. Ein praktisches Beispiel, wie man eine Zwei-Faktor-Authentifizierung nicht implementieren sollte, hat ja Twitter

Dipl.-Inform. Carsten Eilers am : Carberp-Sourcecode und bösartige Opera-Updates veröffentlicht

Vorschau anzeigen
Der Sourcecode des Onlinebanking-Trojaners Carberp wurde veröffentlicht, und Opera verbreitete kurze Zeit Schadsoftware über die Auto-Update-Funktion. Beides muss ich natürlich unbedingt kommentieren! Carberp-Sourcecode ver&oum

Dipl.-Inform. Carsten Eilers am : Linktipps - Das sollten Sie lesen...

Vorschau anzeigen
Angesichts der aktuellen Temperaturen fällt der "Standpunkt" diese Woche sommerlich kurz aus - es gibt nur ein paar Lesetipps: Touchscreens ziehen Fingerabdrücke geradezu magisch an. Wieso sollte man also nicht das Unangenehme mit dem

Dipl.-Inform. Carsten Eilers am : Ein paar kommentierte Links zum Wochenanfang

Vorschau anzeigen
Heute gibt mal wieder "nur" ein paar mehr oder weniger kommentierte Links statt eines "Standpunkts" zu einem Thema. Los geht es mit einem Text von Paul Ducklin von Sophos: "Anatomy of a brute force attack - how important is password complexity?".

Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe

Vorschau anzeigen
Es gibt weitere Informationen zur 0-Day-Schwachstelle in Microsoft Graphics, die über präparierte Word-Dateien ausgenutzt wird. Und die sind sehr interessant, denn es könnte sich ein neuer Trend für 0-Day-Angriffe herauskristal

Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen über präparierte Werbung

Vorschau anzeigen
Eigentlich wollte ich ab dieser Folge Aktualisierungen der älteren Grundlagen-Texte veröffentlichen, angefangen mit Clickjacking-Angriffen. Aus aktuellen Anlass geht es aber mit einem "Update" zu den Texten über Drive-by-Infektionen

Dipl.-Inform. Carsten Eilers am : Dieses und Jenes zum Clickjacking

Vorschau anzeigen
Zum Abschluss der Aktualisierungen zum Thema "Clickjacking" gibt es noch eine bunte Mischung von Informationen. Der Einfachheit halber nach Datum sortiert. Zeus bereitet Clickjacking vor Der Schädlingsbaukasten Zeus kann ziemlich vi

Dipl.-Inform. Carsten Eilers am : GameOver Zeus - Der Name eines Botnets wird zum Programm

Vorschau anzeigen
Einige Cyberkriminellen fanden den Namen "GameOver" so toll, dass sie ihn für ihr Zeus-Botnet verwendeten. Sie haben vermutlich nicht erwartet, das irgend wann jemand diesen Namen wörtlich nehmen und das "Spiel" beenden würde. End

Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones

Vorschau anzeigen
Bei entwickler.press ist mein E-Book über die Sicherheit von Android erschienen: "Android Security - Von Fake-Apps, Trojanern und Spy Phones". Es gibt einen Überblick über die aktuelle Sicherheitslage von Android: W