Drucken
18.09.2011, 14:00 Uhr | Jens Müller und Andreas Lerg
Zeus besiegt viele Virenscanner. (Quelle: imago)
Seit Monaten treibt der Trojaner ZeuS bereits sein Unwesen im Internet und räumt reihenweise Online-Banking-Konten leer. Eigentlich sollte sich die Schadsoftware mit Virenjägern abwehren lassen, doch viele Anti-Virus-Programme scheitern an dieser Aufgabe. Denn Baukasten-Trojaner ZeuS tarnt geschickt seine Spuren.
Der Trojaner ZeuS gilt als einer der derzeit gefährlichsten Online-Banking-Trojaner. Denn obwohl die Schadsoftware seit Monaten bekannt ist und ihr Quellcode im Internet einsehbar ist, überlistet ZeuS reihenweise Virenscanner. Denn mittels eines Baukasten-Prinzips, zufällig generierten Dateinamen und einer integrierten Update-Funktion ist der Trojaner nur schwer zu finden. Viele Gratis-Virenscanner sind gegen ZeuS förmlich machtlos, wie das deutsche Fachmagazin c't in der aktuellen Ausgabe meldet. Die Experten empfehlen den Einsatz einer weiteren Schutz-Software wie ThreatFire, um nicht Opfer des raffinierten Konto-Plünderes zu werden.
Viele herkömmliche Anti-Virus-Programme setzen auf signaturbasierte Scans, das heißt, die Virenjäger durchforsten das Betriebssystem nach Fingerabdrücken der Schadsoftware. Doch diese hinterlässt ZeuS in der Regel nicht. Der Trojaner nistet sich nach der Installation unter zufällig generierten Dateinamen im Windows-Ordner "Anwendungsdaten" ein. Das simple Löschen der Dateien reicht nicht aus, denn auch für die Einträge in der Windows-Registry verwendet ZeuS laut c't zufällige Werte, die er zudem fünfmal pro Sekunde neu anlegt.
Und genau darin liegt der Schwachpunkt von ZeuS. Denn ein Windows-Prozess, der in sich in dieser Häufigkeit in die Registry einträgt und in regelmäßigen Abständen mit einem Internet-Server kommuniziert, macht sich verdächtig. Die Verhaltenserkennung moderner Virenscanner sollten dies bemerken. In den Tests der c't bewährte sich vor allem ThreatFire gegen den ZeuS-Trojaner und bremste ihn mehrfach aus. Die Autoren empfehlen daher, das kostenlose Programm zusätzlich zu einem Virenscanner zu installieren, da es lediglich mit der notwendigen Verhaltenserkennung arbeitet.
Wie sicher sind iTAN, mTan und chipTAN? zum Video
Für die Analyse zerpflückte die c't mehr als 50.000 Zeilen Programmcode von Zeus. Der Trojaner ist aus einer Reihe von Modulen aufgebaut, die einzeln angepasst und verändert werden können. Das bedeutet, dass sich ZeuS fortlaufend verändert. Die Hintermänner des Trojaners ändern über automatische Updates der verwendeten Module jederzeit den Fingerabdruck der Schadsoftware und umgehen damit herkömmliche Virenscanner und deren Signaturen.
Die Zusatzmodule, Webinjects genannt, schieben Opfern von ZeuS manipulierte Online-Banking-Seiten im Browser unter, selbst bei verschlüsselt übertragenen Seiten. Damit sammelt der Trojaner PIN und TAN von Bankkonten ein. Das Webinject für das Online-Banking der deutschen Sparkassen beispielsweise kostet etwa 60 US-Dollar und lässt sich für weitere 20 Dollar anpassen, so die c't. Mit seinen Grundfunktionen sammelt ZeuS zusätzlich etwa Zugangsdaten für Webmail-Seiten, überwacht Tastatureingaben und überträgt Bildschirmfotos der Opfer-PC an seine Hintermänner.
So lässt sich mit ZeuS, der erstmals 2006 auftauchte, große Beute machen. Im Oktober des letzten Jahres fassten ukrainische Behörden eine Bande, die mit Hilfe des Zeus-Trojaners über 51 Millionen Euro erbeutete. Eine entdeckte Mutation des Zeus-Trojaners fängt sogar mTAN ab und überlistet so das vermeintlich sichere Online-Banking-Verfahren. Das sind Transaktionsnummern zur Autorisierung von Banküberweisungen, die per SMS an das Handy eines Bankkunden verschickt werden. Trotz der Analyse und der Tipps der c't wird der Kampf gegen ZeuS weitergehen und die kriminellen Hintermännern, die ihre Kommentare im Software-Code auf russisch verfassen, dürften noch zahlreiche Konten leerräumen.
Innovative, cloud-basierte Techno- logie mit bewährtem Virenschutz. Bewährter Rundum-Schutz - egal ob Privat, bei der Arbeit, Online-Banking oder -Shopping oder sozialen Netzwerken. weiter zum Angebot
Quelle: t-online.de
(67)
Computer Michel schrieb:
am 27. März 2012 um 19:15:50
(3) 
(0)
@Beobachter
Sie brauchen nur eine Internetseite zu besuchen, dann haben Sie einen Trojanner ! - Der Scanner kann nichts finden da dieser
Unrat ja noch nicht bekannt (Viren-Signatur) und die meisten werden nie und nimmer entdeckt !!! - Ziehen Sie Ihr Wissen aus dem Zensurstaat ... Welches Staatssystem hat den dann Deutschland Sie Beobachter ?
mehr
Kommentar melden
Rippchen schrieb:
am 11. Oktober 2011 um 19:59:59
(10) (1)
@siggi
Och ja - dann immer los, viel Spass m.d. Rechnungen, die dann zwangsläufig auf Sie zukommen, da jeder "x"-beliebige auf Ihren
Namen einkaufen wird, i.d. er Ihr Internet-Konto kapert!
Selbst bei der heutigen IP-Technologie gibt es keine Sicherheit, dass diese "einmalige" Adresse zu diesem Zeitpunkt wirklich die Ihrige ist - die Server können nach wie vor getäuscht werden & genauso verhielte es sich auch bei einem INet-Perso, o.ä.
100% Schutz d. Identität gibt es im Netz nicht & wi
mehr
Kommentar melden
scooterfan schrieb:
am 8. Oktober 2011 um 21:12:24
(24) (5)
Russen
Am besten es wird ne Deutschlandfirewall eingerichtet, die innerhalb Deutschland alle Russen vom Netz aussperrt
Kommentar melden
Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
Attraktive und sportive Mode für Sie und Ihn: kompromisslose Qualität, die überzeugt. zum Special
Entdecken Sie die neuen Kollektionen zu Top-Preisen: jetzt online bestellen! zu den Angeboten
Zeigen Sie Flagge - alles für die per- fekte EM-Party in Schwarz-Rot-Gold.
von GINGAR.de
Damenmode in den schönsten Sommerfarben - online bestellen und sparen. bei KLiNGEL.de
Ganz einfach: Bildschirminhalt als Grafik speichern. zum Video
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
Neues Oberklassen-Smartphone mit 4,7-Zoll-Display. zum Video
