Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 140379

Kaspersky Labs GmbH Despag-Straße 3 85055 Ingolstadt, Deutschland http://www.kaspersky.de
Ansprechpartner:in Rainer Bock +49 89 74726244
Logo der Firma Kaspersky Labs GmbH
Kaspersky Labs GmbH

Kaspersky Lab entdeckt "Universalcode" für Schadsoftware

(PresseBox) (Moskau/Ingolstadt, )
Experten von Kaspersky Lab stießen im zurückliegenden Vierteljahr bei der Analyse des Verschlüsselungs-Trojaners Gpcode.ai auf interessante Parallelen zwischen einer Vielzahl von Schadprogrammen. Der Trojaner basiert auf einer Art "Universalcode", der in verschiedenen Varianten in Trojan-Downloaders, Trojan-Spys und Backdoors vorkommt. Diese Entdeckung und weitere Beobachtungen aus den vergangenen drei Monaten können im Quartalsbericht "Malware-Bedrohungen im dritten Quartal" auf www.viruslist.de nachgelesen werden.

Bei der Analyse von Gpcode.ai konzentrierte sich Kaspersky Lab auf mehrere Indizien, darunter den im Trojaner-Body enthaltenen String _SYSTEM_64AD0625_, mit dem Gpcode seine Anwesenheit im Arbeitsspeicher markiert. Als die Experten ihre umfangreiche Virenkollektion nach dieser Zeile durchsuchten, war das Ergebnis mehr als überraschend: Sie tauchte in den unterschiedlichsten trojanischen Schadprogrammen auf, zu denen beispielsweise die Klassen Trojan-Downloader, Trojan-Spys und Backdoors gehören. Die Stichproben hatten jedoch noch mehr Gemeinsamkeiten. So installieren sie zahlreiche Dateien, modifizieren Windows-Ordner und stimmen auch zu mehr als 80 Prozent im Programmcode überein.

Die Antiviren-Experten waren damit auf eine Art "Universalcode" gestoßen, der sich vielseitig einsetzen lässt. Seine Funktionen eignen sich unter anderem für Datendiebstahl und zum Malware-Download auf bereits infizierte Rechner. Mit dem "Universalcode" ausgestattete Programme können aber auch als Bots fungieren und infizierte Computer an Zombie-Netze anschließen.

Im nächsten Schritt analysierte Kaspersky Lab die im Universalcode enthaltenen Links anhand zahlreicher aktueller Malware-Versionen. Wie die Recherchen ergaben, besteht zwischen Schädlingen wie Zhelatin, Warezov, Bancos.aam, Bzub und Gpcode.ai eine Verbindung. Nun galt es, den Programmierer des "Universalcodes" zu enttarnen und herauszufinden, ob sämtliche damit erstellte Malware auf das Konto ein und derselben Hacker-Gruppe geht.

Mit ZeuS war der Urheber der Schädlinge bald gefunden. Die Malware installiert sich selbsttätig auf einem System, infiltriert laufende Prozesse, widersteht verschiedenen Antivirus-Programmen und bietet einen http-Proxy-Server. Alle ZeuS-Varianten verewigen sich auf befallenen Systemen mit dem String _SYSTEM_. Sämtliche Versionen der Malware fasste Kaspersky Lab daraufhin zu einer eigenständigen Familie namens Zbot zusammen.

Alle ZeuS-Varianten können auf vielfältige und teilweise recht originelle Weise beliebige Informationen stehlen. Es handelt sich also tatsächlich um einen "universellen" Code, dessen Flexibilität ihn besonders gefährlich macht. Ebenso wie auch bei Gpcode.ai lässt sich jede neue Ausgabe mit einer völlig anderen Funktionalität ausstatten. Wie beliebt der Schädling damit in der russischen Cyberkriminellen-Szene war, zeigt die Anzahl der Botnetze, die auf seine Technik setzte. Diese basierte dabei auf der Kombination aus Zupacha und ZeuS mit Zunker als Steuerzentrale. Eines der größten Zunker-Botnetze umfasste mehr als 106.000 Rechner und wuchs täglich um mehr als 1500 Maschinen, bevor es entdeckt wurde. Die rasante Verbreitung von Zupacha resultiert auch aus seiner einfachen Konfiguration.
Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.