C&C-Server des Zeus-Botnet lässt sich kapern

Eine Sicherheitslücke in der PHP-Webschnittstelle des Zeus-Botnet erlaubt es, den Command-And-Control-Server (C&C) in seine Gewalt zu bringen. So bizarr das auch klingt, könnte ein Angreifer somit die Bots in seine Gewalt bringen und damit Unfug anstellen. Ebenso lässt sich der C&C-Server deaktivieren und gesammelte Daten auslesen oder löschen.

Herausgefunden hat das Billy Rios. Er konnte sein eigenes PHP-Script hochladen. Dazu nutzte er die Upload-Funktion für individuelle Bot-Logfiles. Er musste allerdings erst den RC4-Schlüssel eines Bots herausfinden, der einzigartig ist. Das kann man mittels eines infizierten PCs zur Laufzeit tun. Als verantwortlicher Buigfinder wollte Rios den Fehler an die Entwickler melden. Dieser Versuch endete aber in Viagra- und Malware-Spam. Da er keine andere E-Mail-Adresse zur Verfügung hat, veröffentlichte er seinen Fund. (jdo)