64-Bit-Version der Banking-Malware Zeus entdeckt

EnterpriseSicherheit

Kaspersky zufolge ist sie wohl seit Juni im Einsatz. Alle Funktionen der 32-Bit-Variante finden sich auch in Zeus 64-Bit wieder. Infizierte Rechner lassen sich mit der Malware über das Anonymisierungsnetzwerk Tor fernsteuern.

Zeus Banking-MalwareKaspersky ist einer neuen Variante der Banking-Malware Zeus auf die Spur gekommen. In einem Blog schreibt Kaspersky-Lab-Experte Dmitry Tarakanov, dass es sich um eine 64-Bit-Version handelt. “Es war nur eine Frage der Zeit, bis eine 64-Bit-Version von Zeus erscheint – aber wir haben nicht erwartet, dass das so schnell geschieht.”

Grund dafür sei, dass eine 64-Bit-Version der Schadsoftware eigentlich nicht benötigt werde. “Zeus ist in erster Linie dafür gedacht, über einen Browser Daten abzufangen und zu verändern, was es dem Betreiber erlaubt, Informationen über Online-Banking zu stehlen und seine Spuren zu verwischen”, schreibt Tarakanov. “Nutzer verwenden aber heutzutage immer noch 32-Bit-Browser – selbst auf 64-Bit-Betriebssystemen.”

Deshalb sei Kaspersky von der Entdeckung der 64-Bit-Variante überrascht. Eine Analyse der Malware ergab, dass sie Ende April 2013 kompiliert und bereits im Juni in Umlauf gebracht wurde. Zudem sei die 64-Bit-Version voll funktionsfähig.

Kaspersky zufolge nutzt sie außerdem das Anonymisierungsnetzwerk Tor. Eine Version der Datei “tor.exe” befindet sich ebenfalls in der 64-Bit-Version von Zeus. Diese wird indirekt über den Windows-Systemdienst svchost.exe gestartet. Über die in Zeus enthaltene VNC-Funktion sei möglich, einen infizierten Rechner vollständig fernzusteuern.

Kaspersky schätzt die Zielgruppe für die 64-Bit-Variante allerdings als sehr gering ein. “Laut unserer eigenen Statistik liegt beispielsweise der Anteil der Nutzer, die mit der 64-Bit-Version des Internet Explorers surfen, bei weniger als 0,01 Prozent”, heißt es in dem Blog. “Warum auch immer die Malware-Autoren diese Zeus-Variante geschaffen haben, eine echte 64-Bit-Version von Zeus existiert, und wir können daraus folgern, dass die Entwicklung von Zeus einen neuen Meilenstein erreicht hat”, schreibt Tarakanov.

Die 64-Bit-Variante von Zeus startet einen Tor-Proxy, der sich als Windows-Systemdienst svchost.exe tarnt (Screenshot: Kaspersky).
Die 64-Bit-Variante von Zeus startet einen Tor-Proxy, der sich als Windows-Systemdienst svchost.exe tarnt (Screenshot: Kaspersky).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen