Über die Gefahren, die von dem Trojaner Zeus ausgehen, wurde in den letzten Wochen ausführlich berichtet. Jetzt bekommt das Thema aber erneut eine interessante Wendung: Bei einem aktuellen Angriff der am weitesten verbreiteten Bot-Variante Gameover, die Peer-to-Peer-Netzwerke für seine C&C-Attacken nutzt, konnte SophosLabs einen neuen Schädling ausmachen. So scheint das Kernel-Mode-Rootkit aus der Necurs-Malwarefamilie nun in das Zeus-Waffenarsenal aufgenommen worden zu sein.
Um die Wirkung dieses Doppels beschreiben zu können, machen wir einen kurzen Ausflug in die Zeus-Historie. Der Trojaner wurde entwickelt, um Informationen jeglicher Art zu stehlen, vor allem Anmeldedaten. Frühe Versionen der Malware nutzen eine User-Mode-Rootkit, um die Zeus-Einträge in Dateiverzeichnissen und Registrierung zu verstecken. Allerdings tauchte dieses Rootkit in neueren Versionen aufgrund von Erfolglosigkeit erst gar nicht mehr auf. Stattdessen speiste sich Zeus in Systemprozesse und – browser ein, fing Key-APIs ab und konnte so den entsprechenden Datentransfer verfolgen.
Das nun zusätzlich implementierte Necurs-Rootkit sorgt dafür, dass Zeus auf der Festplatte noch schwieriger entdeckt werden kann, beziehungsweise der Trojaner nach seiner Entdeckung nun auch schwieriger zu entfernen ist. Diese besondere Gameover-Zeus-Variante wird nach Untersuchungen der SophosLabs zurzeit vor allem über Anhänge in Spam-Emails verbreitet und agiert zusammen mit dem Trojaner Upatre downloader. Ist die bösartige exe-Datei erst aktiviert, wird Zeus wir gewohnt ausgeführt und nistet sich auf dem Rechner ein. Dann kommt die neue Variante ins Spiel und installiert zusätzlich die Necurs-Treiber. Das Ergebnis ist ein noch perfideres Versteckspiel, das den Datenkraken mehr Zeit verschaffen soll, so effektiv wie möglich zu arbeiten.
Die Sophos-Lösungen schützen im Übrigen bereits vor dieser neuen Gefahr und haben folgende Versionen auf dem Schirm: HPmal/Zbot-C, Troj/ZbotMem-B, Troj/NecKMem-A, Mal/DrodZp-A, Troj/Zbot-HTQ, Troj/Zbot-HTS, Troj/Necurs-BD.
Mehr technische Infos zu dem Vorgang gibt es im Spezialartikel inkl. zahlreicher Screenshots (Englisch) bei den Kollegen von Naked Security.