Hinweise zum Schutz vor dem ZeuS-Computervirus

Hinweise zum Schutz vor dem ZeuS-Computervirus

Hinweise zum Schutz vor dem ZeuS-Computervirus

Cybersicherheitsexperten haben ein Problem. Nein, natürlich gibt es viele Probleme, aber einer von ihnen ist besonders aufdringlich. Um es zu lösen, musste man fast eine weltweite Operation organisieren, und trotzdem waren die Ergebnisse bestenfalls temporär.

Worum geht es?

Thema: Gameover ZeuS
Typ: P2P-Botnet mit hoher Stabilität
Bösartiger Agent: Ein Bank-Trojaner
Zusätzliche Bedrohungen: Wird verwendet, um Cryptolocker zu verbreiten
Geschätzte Größe: 350.000 bis 1 Million infizierte Maschinen
Status: neutralisiert, Kontrollserver deaktiviert (vorübergehend?)
Besitzerstatus: Verdächtiger wird in Abwesenheit angeklagt, versteckt sich
Prognose: Botnet-Erholung in den kommenden Wochen
OK, das Botnet ist neutralisiert. Vor einigen Wochen fand die «Operation Tovar" statt, eine gemeinsame Aktion zwischen Strafverfolgungsbehörden mehrerer Länder und Cybersicherheitsexperten, bei der die Besitzer eines Botnets ihre Kontrollserver verloren haben.

Leider hat niemand Zeit, den Sieg zu feiern: Nachdem er die Neutralisierung der C & C-Server angekündigt hatte, erkannten die Strafverfolger sofort, dass die von Gameover ZeuS betroffenen Benutzer ungefähr zwei Wochen Zeit hatten, ihre Computer von ihren Agenten zu reinigen. Experten glauben, dass die Besitzer des Botnets versuchen werden, es wiederherzustellen, indem sie neue Server starten (diese Versuche werden übrigens bereits beobachtet).

Trotz des Ausmaßes der Operation war das Botnet nur vorübergehend außer Betrieb.

Gameover ZeuS hat die Menschen seit etwa drei Jahren belästigt; Es ist grundsätzlich kein Fehler zu sagen, dass seine Geschichte viel länger dauert: Es basiert auf dem ursprünglichen ZeuS, dessen Trojaner 2007 zum ersten Mal entdeckt wurden. Im Jahr 2011 sind ZeuS-Quellen ins Netz gegangen, als Ergebnis wurden mehrere Ähnlichkeiten ans Licht gebracht. Gameover ist einer der bösartigsten.

ZeuS-Optionen beschäftigten sich hauptsächlich mit dem Diebstahl von Bankdaten und wurden für finanzielle Machenschaften verwendet. Die Besitzer von Gameover ZeuS gingen einen Schritt weiter: Anscheinend wurde diese Malware verwendet, um große Dollar-Konten mit DDoS-Angriffen als Rauchschwaden zu beschlagnahmen.

Schlimmer noch, anscheinend vermieten die Besitzer des Botnets Teile davon an «Freunde», und diese verteilen den aufgelösten Cryptolocker, eine Massenerpressungsmaschine, durch sie.

Anfang Juni 2014 gab das US-Justizministerium bekannt, dass die «Operation Tovar» es ermöglichte, das Botnet vorübergehend außer Betrieb zu setzen und die Verbindungen zwischen den Endagenten und den Kontrollservern zu unterbrechen. Dies erwies sich als sehr schwierig, da Gameover ZeuS im Gegensatz zu «normalen» Botnets P2P-Verbindungen verwendet, um Updates seiner Bots zu überwachen und zu verteilen. Damit ähnelt es der mythischen Hydra: Kleie einen Kopf ab, es werden mehrere neue wachsen.

Später wurde der Name des Hauptverdächtigen bekannt gegeben: der 30-jährige Russe Jewgeni Michailowitsch Bogachev. Er wird in Abwesenheit in den USA angeklagt. Experten glauben jedoch, dass mehrere Personen mit der Verwaltung des Botnets beschäftigt sind.

Es besteht kein Zweifel, dass Gameover ZeuS bald zurückkehren wird. Er ist momentan inaktiv, aber wahrscheinlich nicht tot. Warum? Denn erstens gibt es bis zu eine Million infizierte Computer auf der Welt. Einige Benutzer haben Benachrichtigungen von ihren Anbietern erhalten, die die Infektion bei ihnen entdeckt haben, aber viele wissen immer noch nichts über diese Bots.

Wenn also in naher Zukunft kein «globaler Cyber-Subbotnik» auf der Welt passiert, bleibt die Basis des Botnets mehr oder weniger unberührt.

Nun, selbst wenn es etwas viel «schrumpft», ist es unwahrscheinlich, dass es eine große Herausforderung sein wird, es wieder aufzubauen. Gameover verbreitete sich über ein anderes Botnet — Cutwail, mit dem Experten lange Zeit und nicht sehr erfolgreich zu kämpfen hatten. Warum nutzen Sie es nicht wieder?

Die Besitzer des Botnets sind frei, und obwohl einer von ihnen angeklagt wird, gibt es erstens keine Garantie, dass er bald gefangen werden kann, da es keine Garantie gibt, dass es ein bestimmter Bogachev ist, der Hauptbetreiber des Botnets ist. Solange das Gericht nicht anders entscheidet, kann niemand als schuldig bezeichnet werden.

Kurz gesagt, die Besitzer des Botnets sind frei und zögern nicht, ihre Quelle illegaler Einnahmen wiederherzustellen.

Schließlich gibt es auch andere Variationen über das ZeuS-Thema im Untergrund, und wer weiß, wie bald etwas noch «Mörderischeres» als Gameover erscheinen wird?

Aber trotzdem, was soll ich tun? Von einem »globalen Subbotnik", den man mit der Einreichung von Kämpfern gegen Cyberkriminalität durchführen könnte, kann man bisher nur träumen. Obwohl es natürlich toll wäre, wenn zum Beispiel am 31. August ein paar Milliarden Nutzer ihre Computer mit allen verfügbaren Tools überprüfen würden. Träume sind Träume.

Botnets bestehen meistens aus alten Maschinen unter Windows XP, deren Besitzer von dem Gedanken ausgehen, «während es funktioniert — wir berühren es nicht». Es ist unwahrscheinlich, dass sie überhaupt auf die Aufforderungen achten, ihre Autos sauber zu machen.

So können sich bewusste Benutzer und Unternehmen bisher nur auf sich selbst und traditionelle Werkzeuge verlassen: Die Lösungen von Kaspersky Lab zum Beispiel fangen sowohl ZeuS als auch Gameover ZeuS und Cryptolocker erfolgreich ein. Es ist auch eine gute Idee, elektronische Zahlungen selbst vor möglichen Betrugsversuchen zu schützen. Es wird auch überflüssig sein, genau zu sein, was versucht, in Ihren PC zu gelangen.

Nun, zum Schluss ein paar Empfehlungen von unserem Senior Analyst David Emma:

"Um die Sicherheit Ihrer Finanzinformationen zu gewährleisten (von ZeuS und anderen Malware, die Ihre persönlichen Daten stehlen möchten, sollten Sie einige einfache Regeln beachten:

Klicken Sie nicht auf Links, die Sie von Fremden erhalten haben (per Post oder über soziale Netzwerke).
Laden oder öffnen Sie keine unbekannten Dateien auf Ihrem Gerät.
Verwenden Sie keine ungeschützten (öffentlichen) drahtlosen Zugangspunkte, um Transaktionen durchzuführen. Verwenden Sie VPN-Verschlüsselung
Überprüfen Sie die Webseite immer zweimal, bevor Sie persönliche Daten eingeben - Phishing-Websites sehen sehr überzeugend aus.
Arbeiten Sie nur mit Websites, die «https» in der Adressleiste haben und zuverlässiger sind als solche, deren Adressen mit «http» beginnen.
Stellen Sie sicher, dass alle Ihre Schutzmaßnahmen auf die neuesten Versionen aktualisiert wurden.
Wenn Sie keine Schutzausrüstung haben, können Sie sie hier kaufen.
Und vergessen Sie nicht, den Schutz für alle Transaktionen von mobilen Geräten zu verwenden.

Der Begriff «Trojaner" hat einen sehr merkwürdigen Ursprung in der Cybersicherheit. Es hat wenig mit den Bewohnern des alten Troja zu tun und ist eigentlich eine Abkürzung für das »trojanische Pferd", was ziemlich beschreibend ist. Wie wir seit der Schule wissen, wurde das ursprüngliche trojanische Pferd von den Griechen gebaut, nachdem sie Troja zehn Jahre lang erfolglos belagert hatten. Ein riesiges Holzpferd wurde vor den Toren der Stadt zurückgelassen, und Trojas Verteidiger hatten die Dummheit, es als Geschenk hineinzuziehen. Tatsächlich versteckten sich dreißig bewaffnete Kämpfer im Inneren, und in der nächsten Nacht fiel Troy.

Jetzt wird das trojanische Pferd normalerweise als etwas bezeichnet, das freundlich oder zumindest harmlos erscheint, aber ein gefährliches Wesen in sich verbirgt.

Und genau wie in der »Legende", im wahrsten Sinne des Wortes, haben diese Opfer selbst Trauer auf sich gezogen, entgegen dem gesunden Menschenverstand.

In der Computersicherheit funktionieren trojanische Pferde (oder wiederum nur Trojaner) auf die gleiche Weise. Derartige Malware sind derzeit wohl die populärste Ihrer Art — nicht versuchen, sich in andere Dateien (wie Viren), nicht wiederholen sich unaufhörlich (wie Würmer), und in den meisten Fällen dringen in das System betrogen, nicht ohne die Hilfe der Endbenutzer. Fortgeschrittene Trojaner können jedoch von einem parallelen Download oder sogar einer Installation profitieren, die ohne Beteiligung des Benutzers vollständig ausgeführt wird.

Aber auch hier dringen die Trojaner in den meisten Fällen in unsere Systeme ein, weil wir es ihnen selbst erlauben.

Der erste (in der Geschichte) Trojaner, der «nach Belieben» ausbrach, wurde 1975 erstellt, obwohl es sich nicht um eine Malware, sondern um ein Spiel handelte. Im April 1975 schrieb John Walker, damals noch der zukünftige Schöpfer von Autodesk (CAD, nicht das Unternehmen), das Spiel ANIMAL für die UNIVAC 1108-Plattform. Laut Wikipedia, «ANIMALзадавала dem Benutzer eine Reihe von Fragen, versuchen, das Tier zu erraten, das verborgene Person, während Rahmenprogramm PERVADE erstellt eine Kopie von sich selbst und ANIMAL in jedem Verzeichnis, auf die der Benutzer Zugriff hatte. Es verbreitete sich über Multiplayer-UNIVAC, als Benutzer mit überlappenden Privilegien das Spiel entdeckten, und dann auch auf anderen Computern, nachdem die Bänder ausgetauscht wurden.

Das Programm selbst verursachte keinen Schaden, aber seine »unkontrollierte" Verbreitung machte es tatsächlich bösartig.

Ein weiteres langjähriges Beispiel ist diesmal der wirklich bösartige Trojaner «ARF-ARF», der 1983 erschien. Die Malware gab sich als ein Dienstprogramm aus, um das Diskettenverzeichnis unter DOS zu sortieren, was eine sehr beliebte Funktionalität war. Zu dieser Zeit hat DOS keine Liste von Dateien in alphabetischer Reihenfolge erstellt. Nachdem Benutzer ein Programm installiert hatten, das sich über die BBS-Sites ausbreitete, löschte der Trojaner einfach alle Dateien auf der Diskette, löschte den Bildschirm und gab ARF-ARF darauf aus (mit einem Hinweis auf die sprichwörtliche Fehlermeldung Abort, Retry, Fail?).

Trojaner kamen Anfang der 2000er Jahre stark in Mode. Breitbandverbindungen wurden immer zugänglicher, die Anzahl der mit dem Netzwerk verbundenen Computer wuchs, das dominierende Windows-Betriebssystem war anfällig und die Benutzer waren oft noch ohne Erfahrung. Dann gab es die legendären globalen Pandemien: Melissa Wurm (1999), ILOVEYOU (2000), AnnaKournikova, Sircam, Code Red, Nimda, Klez (2001). Man kann sich noch gut an sie erinnern. Aber nicht mehr so viele Leute haben sich offensichtlich an RAT (Remote Control Tools) erinnert, wie Beast, der 2002 und später auf den Markt kam.

Der Zlob-Trojaner hat jedoch breite Bekanntheit erlangt. Es wurde zum ersten Mal Ende 2005 unter dem Namen des notwendigen Videocodecs in Form einer Microsoft Windows ActiveX-Komponente entdeckt. Offenbar hatte er russischen Ursprung. Die englische Schreibweise des russischen Wortes «Idiot» ist, je nach Kontext, «Idiot» oder sogar «Bastard» — eine abscheuliche Persönlichkeit, die Abscheulichkeiten einfach aus Bosheit macht. Genau das hat der Zlob-Trojaner ursprünglich getan. Nach der Installation es werden pop-up-Fenster, ähnlich wie aktuelle Warnungen MicrosoftWindows, bei denen jedoch festgestellt, dass einige Spyware und bereits mit Zustimmung der Benutzer installiert eine gefälschte Antispyware-Programm (Virus Heat, MS Antivirus/Antirvirus 2009) Trojanisches Pferd mit einer anderen herein. Manchmal hat es auch eine schädliche atnvrsinstall-Datei heruntergeladen.exe, die sich unter einem Symbol in Form eines Windows Security-Schildes versteckt, um unter legitim zu sein. Die Installation dieses Drecks verursachte enormen Schaden im Netzwerk, da eine andere Malware, die Zlob mit sich brachte, zufällig Computer mit verschiedenen Kommentaren abschaltete. Das macht doch Spaß, oder?

Ansonsten ist Zlob ein Spam-Trojaner.

Schlimmer noch, die «Familie» von Zlob (oder besser gesagt seine «Nachkommen») hat sich zu einem globalen Problem mit der DNSChanger-Malware entwickelt, die Router infiziert und ihre DNS-Einstellungen geändert hat, um den gesamten Datenverkehr über bösartige Hosts umzuleiten. Dies führte zu vielen Problemen für Endbenutzer wie nicht behebbaren Pop-ups und Bannern mit «Erwachseneninhalten». Schließlich hat das FBI die DNSChanger-Hostserver beschlagnahmt und sie dann mehrere Monate lang aufrechterhalten und Anweisungen gesendet, wie sie dieses «Biest» aus einem Benutzer-PC entfernen können.

In das globale Problem ist auch ZeuS gewachsen. Der erstmals 2007 entdeckte Trojaner stahl persönliche Informationen und war zunächst ein gezieltes Banking-Malware-Programm. Der Quellcode von ZeuS ist 2011 »durchgesickert". Derzeit gibt es mehrere seiner Derivate, die verwendet werden, um Anmeldeinformationen aus sozialen Netzwerken, E-Mails und Finanzdiensten zu «stehlen».

ZeuS '"Mainstream" -Botnet war eines der größten im Netzwerk. Derzeit müssen sich Experten mit einer ganzen «Galaxie» von Botnets befassen, die auf verschiedenen ZeuS-Derivaten wie GameOver ZeuS basieren, das verschlüsselte Peering-Kommunikation verwendet, um Daten zwischen seinen Knoten und Befehlsservern auszutauschen, was die Aufgabe der Ausrottung besonders erschwert.

Dieses Botnet wird hauptsächlich für Bankbetrug und die Verbreitung des Ransomware-Programms CryptoLocker verwendet, das übrigens auch ein Trojaner ist.

Wie Sie sehen können, gehen Trojaner einfach nicht alleine, sondern führen oft «Freunde» und in Mengen. Einige von ihnen sind leicht zu «berechnen» (insbesondere solche, die paralleles Laden verwenden), aber es ist nicht so einfach, sie zu beseitigen. Abgesehen davon, dass Sie Ihre Schutzprogramme auf dem neuesten Stand halten und regelmäßig aktualisieren, ist es sehr ratsam, wachsam zu bleiben und nichts zu installieren, wenn Sie sich nicht sicher sind, ob Sie es wirklich brauchen.

Unternehmen müssen auch zusätzlichen Schutz für Finanztransaktionen wie Kaspersky Lab Safe Money schaffen. Safe stellt sicher, dass Ihr Geld genau dorthin geleitet wird, wo Sie es brauchen, und bösartige Interventionsversuche (durch Trojaner, Hintertüren usw.) sind vergeblich. Safe Money verhindert übrigens, dass Keylogger funktionieren (die eine beliebte Waffe von Bank-Trojanern sind), spiegelt Phishing-Angriffe wider und schützt die Kommunikation mit Finanzdiensten vor Abfangversuchen. Daher ist es eine notwendige (oder zumindest sehr empfohlene) Schutzmaßnahme, die in der Lage ist, einige ernsthafte Probleme zu verhindern.