Skip to main content

Neues Online-Banking-Trojaner-Programm vereint Zeus- und Carberp-Funktionen

Ein neuer Computer-Trojaner, der Nutzer von 450 Finanzinstituten aus der ganzen Welt anspricht, scheint Funktionalität und Funktionen direkt von den berüchtigten Malware-Programmen Zeus und Carberp zu borgen.

Die neue Bedrohung, von Sicherheitsforschern der IBM-Tochter Zberp genannt Trusteer, hat eine breite Palette von Funktionen. Es kann Informationen über infizierte Computer einschließlich ihrer IP-Adressen und Namen sammeln; Screenshots machen und sie auf einen Remote-Server hochladen; stehlen FTP- und POP3-Zugangsdaten, SSL-Zertifikate und Informationen, die in Webformulare eingegeben werden; Browser-Sessions kaputtmachen und Rogue-Inhalte in geöffnete Websites einfügen und Rogue-Remote-Desktop-Verbindungen mit den VNC- und RDP-Protokollen initiieren.

Die Forscher von Trusteer betrachten Zberp als eine Variante von ZeusVM, einer kürzlich durchgeführten Modifikation des weit verbreiteten Zeus-Trojanerprogramms wurde im Jahr 2011 in Underground-Foren veröffentlicht. ZeusVM wurde im Februar entdeckt und unterscheidet sich von anderen Zeus-basierten Malware durch die Verwendung von Steganographie, um Konfigurationsdaten in Bildern auszublenden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Die Zberp-Autoren verwenden die gleiche Technik, die der Erkennung durch Anti-Malware-Programme entgehen soll, um Konfigurationsaktualisierungen zu senden, die in ein Bild eingebettet sind, das das Apple-Logo darstellt. Die neue Bedrohung verwendet jedoch auch Hooking-Techniken, um den Browser zu kontrollieren, der scheinbar von Carberp ausgeliehen wurde, einem anderen Trojaner-Programm für Online-Banking-Betrug, dessen Quelle letztes Jahr durchgesickert war.

"Da der Quellcode des Carberp-Trojaners war Zugespitzt an die Öffentlichkeit, hatten wir eine Theorie, dass Cyberkriminelle nicht zu lange brauchen werden, um den Carberp-Quellcode mit dem Zeus-Code zu kombinieren und ein böses Monster zu erschaffen ", sagten die Trusteer-Forscher Martin Korman und Tal Darsan letzte Woche in einem Blogbeitrag. "Es war nur eine Theorie, aber vor ein paar Wochen fanden wir Proben des" Andromeda "-Botnets, die das Hybrid-Biest herunterladten."

Zberp verwendet auch einige andere von ZeusVM geliehene Techniken, um Persistenz zu erreichen und der Entdeckung zu entgehen, so die Forscher sagte. Das Malware-Programm löscht seinen Start-Registrierungsschlüssel beim Ausführen und fügt ihn zurück, wenn das System heruntergefahren wird.

"Nach einem Virus-Total-Scan konnte der Zberp-Trojaner die meisten Antiviren-Lösungen umgehen zuerst entdeckt ", sagten die Trusteer Forscher.