Spyware kann fremde Bot-Netz-Prozesse beenden
Nächster Bot-Netz-Krieg möglich
Das Bot-Netz »ZBOT« hat mit »TSPY_EYBOT.A« einen Konkurrenten bekommen. Dieser stiehlt ebenfalls persönliche, finanzielle und andere Informationen. Trend Micro fürchtet nun einen Krieg zwischen den beiden Netzen.
Vor einiger Zeit hat es einen Bot-Netz-Krieg zwischen den Würmern »NETSKY« und »MYDOOM« gegeben. Nun könnte eine Wiederholung drohen: Diesmal zwischen der etablierten Malware »ZBOT« und dem Neuling »TSPY_EYEBOT.A«. Davor warnt der Sicherheitsanbieter Trend Micro. Sollten die Kriminellen hinter Zbot auf Eyebot reagieren, könne es zu einem Krieg kommen, so ein Trend-Micro-Analyst. Dabei könnte auch das Verhalten von Eyebot provozieren: Es kann Prozesse beenden, die ein Zbot gestartet hat. Dazu beobachtet Eyebot die so genannten Mutexes »_AVIRA_« und »_SYSTEM_« von Zbot. Dahinter verbergen sich spezielle Code-Bereiche, die zur gleichen Zeit jeweils nur ein Prozess ausführen darf.
Die Spyware Eyebot stiehlt ähnlich wie Zbot Informationen. Dies können finanzielle oder persönliche Daten sein. Zbot, auch als Zeus-Varianten bekannt, selbst wird als eine der gefährlichsten Schad-Software für Informationsklau angesehen. Eyebot setzt für seine Spionage-Zwecke ein Key-Logger ein, um die Tastatureingaben zu erfassen.
Eyebot nutzt wie Zbot auch Rootkit-Technologie, um sich zu tarnen. Anders als letzterer arbeitet es auch als Backdoor. Es fungiert als Server. Auf diesen kann ein Krimineller über einen Client mit grafischem Nutzer-Interface zugreifen, um die Malware zu steuern. Im Gegensatz dazu arbeiten Zbot-Versionen in der Regel ohne so etwas.
Lesen Sie mehr zum Thema
