Kampf der Bot-Netze:
Trojaner schaltet feindliches Bot-Netz aus

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
10.02.2010

An die Gangster-Kriege im Chicago der 20er und 30er Jahre erinnert das Duell zweier Cybercrime-Organisationen. Eine der beiden Gruppierungen hat einen Trojaner entwickelt, der die Bot-Net-Software des Rivalen »Zeus« auf fremden Rechnern eliminiert und die Systeme selbst übernimmt.

»SpyEye-Bot versus Zeus-Bot« haben Sicherheitsexperten von Symantec [1] den Kampf zweier Bot-Netz-Betreiber betitelt. Details dazu sind in einem Blog-Beitrag [2] der IT-Security-Firma nachzulesen.

Die Kommandozentrale von SpyEye - ein Web-gestütztes GUI.

Im Dezember vergangenen Jahres tauchte nach Angaben von Symantec das Crimeware-Tools »SpyEye« auf. Entwickelt haben es »IT-Experten« aus Russland. Sie vermarkten das Kit für 500 Dollar. Das ist etwa ein Fünftel dessen, was das »Zeus«-Toolkit kostet, sprich es handelt sich um ein Einführungsangebot.

»Deinstalliere Zeus!«

Eine Besonderheit der Software: Sie ist darauf ausgelegt, dem Rivalen »Zeus« Marktanteile abzujagen. Version 1.0.7 des Tool-Kits enthält eine Funktion namens »Kill Zeus«. Sie ermöglicht es dem Nutzer, die Zeus-Software von infiltrierten Rechnern zu löschen und alleine die Kontrolle für diese Systeme zu übernehmen.

Über solche ferngesteuerten »Zombies« werden Spam-E-Mails und Schadsoftware verbreitet oder Server durch konzertierte Zugriffe von Tausenden von Rechnern lahmgelegt (Denial-of-Service-Angriffe).

Bei Zeus handelt es sich ebenfalls um eine Sammlung von Software-Tools, mit denen sich fremde Rechner infizieren und in Bot-Netze einbinden lassen. Als Vehikel dient dabei, ebenso wie bei SpyEye, ein Trojaner, der auf die Zielrechner geschleust wird.

Baukastenprinzip

SpyEye besteht aus einem Modul, mit sich ein .exe-File erzeugen lässt, der bei Anklicken den Trojaner installiert. Ebenfalls im Paket enthalten ist eine Web-gestützte Managementkonsole für die Verwaltung des Bot-Netzes.

Der Anwender kann festlegen, welche infizierten Rechner in den jeweiligen Ländern zusätzliche Schadsoftware erhalten sollen.

Die Programmierer bieten zudem eine Funktion an, die zusätzlich Schadsoftware auf die infizierten Rechner überträgt. Der »Kunde« kann dabei sogar wählen, auf welchen Systemen in welchem Land Malware platziert werden soll.

Neben einem Keylogger, der Tastatureingaben mitschneidet, stellt SpyEye Programme für das Abfangen von E-Mails und von Eingaben in Web-Formularen zur Verfügung.

Der Anbieter wirbt zudem damit, dass regelmäßig Updates der Tools eingespielt werden und die Konfigurationsdateien verschlüsselt werden. Weitere Features: der angesprochene Zeus-Killer sowie ein Grabber für das Abfangen von FTP-Daten.

Wie bei anderen Produkten dieser Art wird auch SpyEye über das Internet vermarktet. In entsprechenden Foren machen die Hersteller des Toolkits Werbung für das Programmpaket.

Dank solcher Toolkits wird es für Cyberkriminelle immer einfache, Angriffe zu starten. Detaillierte Programmierkenntnisse sind nicht mehr erforderlich, so wie das bei den Viren früherer Generationen der Fall war.

Symantec geht davon aus, dass mit SpyEye ein neuer »Krieg« zwischen den Betreiber von Bot-Netzen entfacht werden könnte. Ähnliche Konflikte trugen bereits Bot-Nets wie Beagle, Netsky und Mydoom beziehungsweise deren Schöpfer miteinander aus.

[1] http://www.symantec.de/
[2] http://www.symantec.com/connect/blogs/spyeye-bot-versus-zeus-bot

  • 1. Seite: Trojaner schaltet feindliches Bot-Netz aus
  • 2. Seite: Baukastenprinzip
Verwandte Artikel