Antivirus-Hersteller entdeckt Universalen Code in diverser Malware
Verschiedene Trojaner-Varianten setzen auf einheitlichen Schadcode
04.12.2007 | Redakteur: Florian Karlstetter
Die Virenanalysten von Kaspersky Lab haben eine interessante Entdeckung gemacht: So wurde herausgefunden, dass unterschiedlichste trojanische Schadprogramme wie Trojan-Downloader, Trojan-Spys, aber auch Backdoors Befehlsketten gleichen Inhalts enthalten und sich alle unter dem Dateinamen ntos.exe im System verankern.
Entdeckt wurde diese Art von Universalcode bei der genaueren Analyse des Trojaners Gpcode.ai. So markiert der Schädling beispielsweise seine Anwesenheit im Arbeitsspeicher über den im Body-Tag enthaltenen String „_SYSTEM_64AD0625_“. Bei weiteren Recherchen stellten die Experten dann fest, dass diese Zeile auch in anderen, nicht direkt verwandten trojanischen Schadprogrammen enthalten ist.
Aber auch andere Gemeinsamkeiten kamen zutage: So installieren Malware-Programme oftmals diesselben Dateien, modifizieren diesselben Windows-Ordner und stimmen beim Programmcode oftmals auch zu mehr als 80 Prozent überein. Dieser entdeckte Universalcode lässt sich offenbar vielseitig einsetzen.
Beispielsweise berichtet Kaspersky von Funktionen wie Datendiebstahl oder Malware-Download auf bereits infizierten Rechnern. Ebenso können so ausgestattete Programme als Bots fungieren und infizierte Computer an Zombie-Netze anschließen.
ZeuS als Urheber der Schädlinge ausgemacht
Nach der Enttarnung des Universalcodes suchten die Analysten nach weiteren Parallelen. Dabei kam heraus, dass zwischen verschiedenen Schädlingen wie Zhelatin, Warezov, Bancos.aam, Bzub und Gpcode.ai eine weitere Verbindung besteht.
Über die im Code enthaltenen Links wurde „ZeuS“ als Urheber der Schädlinge ausgemacht. Die Malware, die auf den Techniken des Hackers basiert, geht immer nach demselben Schema vor: Sie installiert sich selbständig auf dem System, infiltriert laufende Prozesse, umgeht oder täuscht Antivirenprogramme und bietet einen http-Proxy-Server. Sämtliche ZeuS-Varianten verewigen sich außerdem mit dem String „_SYSTEM_“ auf den infizierten Computern.
Alle ZeuS-Varianten können auf vielfältige und teilweise recht originelle Weise beliebige Informationen stehlen. Die Flexibilität des Universalcodes macht ihn auch so gefährlich. So lässt sich jede neue Aufgabe mit einer völlig anderen Funktionalität ausstatten. Sämtliche entdeckten Versionen der Malware wurden von Kaspersky zu einer eigenständigen Familie namens „Zbot“ zusammengefasst.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2009463)
