Piraten gegen Piraten

Zeus-Bot mit Kopierschutz à la Microsoft

Das kommerziell vertriebene Botnet-Kit Zeus/Zbot kommt in seiner neusten Version mit einem Windows-ähnlichen Kopierschutz, der eine erworbene Lizenz an eine bestimmte Hardware-Konfiguration bindet.

Botnetze, die auf dem auch als Zbot bezeichneten Zeus-Bot basieren, sind weit verbreitet. Zeus wird zu Preisen von mehreren tausend Euro verkauft. Der Preis hängt von den bestellten Modulen ab. Die neueste Zbot-Version enthält nun einen Kopierschutz, der die Verbreitung und den Einsatz von Raubkopien verhindern soll.

Bei Zeus 1.3.4.x hat der Programmierer ein Hardware-basiertes Lizenzmodell implementiert. Das heißt, wer eine Lizenz erworben hat, kann das Zeus-Kit auf einem PC installieren. Dessen Hardware-Konfiguration sowie die Versionsnummer des Betriebssystems werden vom Zeus-Builder ermittelt. Der Käufer erhält dann, ähnlich wie bei Windows, einen Aktivierungsschlüssel, der an diese Hardware gebunden ist.

Wie Kevin Stevens und Don Jackson von SecureWorks berichten, wird die aktuelle Zeus-Version anscheinend nur von ihrem Programmierer verkauft. Ältere Versionen kursieren als billige Raubkopien oder sind gratis erhältlich. Die neue Version kostet 3000 bis 4000 US-Dollar in der Basisausstattung. Hinzu kommen etwa 2000 Euro für einen Firefox-Form-Grabber oder 500 Dollar für einen Chat-Modul.

Für 1500 Dollar gibt es ein Backlink-Modul, mit dem Online-Kriminelle Überweisungen vom Rechner eines Opfers ausführen können. Banken überprüfen schon mal, ob beim Online-Banking ein Zugriff von einem Rechner erfolgt, der auch in dem Land steht, in dem der legitime Kontobesitzer wohnt. Die Täter können sich in ihrem Botnet einen jeweils passenden Zombie-PC aussuchen, um mit ausspionierten Kontodaten Überweisungen zu tätigen.

Weitere 2000 Dollar sind fällig, wenn Unterstützung für Windows 7 und Vista gefragt ist. Ohnedies bleibt der Einsatz auf Windows XP beschränkt. Für 10.000 gibt es ein VNC-Modul, das den grafischen Desktop des infizierten Rechners überträgt. Damit erhält ein Täter sogar Zugriff auf eine für größere Transaktionen eventuell erforderliche Smartcard, die eine Bank abfragt.

Zukünftige Versionen sollen mit polymorpher Verschlüsselung ausgestattet werden. Die zurzeit im Beta-Test befindliche Version 1.4 erzeugt bei jeder Infektion einen neuen Schlüssel, was die Erkennung durch Antivirus-Software weiter erschweren soll. Außerdem soll sie auch bei Firefox Daten in den Web-Datenstrom injizieren können, um Transaktionen zu manipulieren.

Unterdessen erholen sich die Zeus-Botnetze langsam wieder von einem Rückschlag in der letzten Woche, als mehrere Provider abgeklemmt wurden, die Zeus-Kommando-Server beherbergen. (PC-Welt/cvi)