Die Antwort der ZBOT-Kriminellen auf die gewachsene öffentliche Aufmerksamkeit kann jedoch auch als exemplarisch gelten: Sie rüsten auf, indem sie das Profil, an dem sich die gängigen, weit verbreiteten ZBOT-Varianten erkennen lassen, insbesondere die Verwendung fester Datei- und Verzeichnisnamen, mit neuen Techniken und Taktiken zu verwischen versuchen. Es wird daher nicht allzu lange dauern, bis die neuen, vor kurzem aufgetauchten ZBOT-Varianten – zum Beispiel TSPY_ZBOT.CRM und TSPY:ZBOT.CQJ – ihre Vorgänger verdrängt haben.
Damit ist die nächste Runde des gegenseitigen Wettrüstens zwischen Cyberkriminellen und Sicherheitsindustrie eingeläutet. Der Mechanismus erinnert sehr an das Wettrüsten im Kalten Krieg, in der jede Aktion der einen Seite nicht mit derselben, sondern mit einer anderen, die jeweilige Aktion so unwirksam wie möglich machenden Maßnahme beantwortet wurde. Diesem Rüstungswettlauf scheint so lange niemand entrinnen zu können, wie die Angriffsflächen, die den ZBOT-Kriminellen für ihre Aktivitäten zur Verfügung stehen, nicht grundsätzlich verändert werden. Ein Ansatz, den Trend Micro schon seit längerem erfolgreich anwendet, ist der Einsatz von Reputationsdiensten im Trend Micro Smart Protection Network™, mit dem sich die Infektionswege für ZBOT unterbrechen lassen. Ein anderer, ergänzender Ansatz könnte das konsequente und starke Verschlüsseln von vertraulichen Informationen sein, ein Weg, den Trend Micro sicher in der Zukunft noch stärker verfolgen wird.
Weitere Informationen zu den neuen ZeuS/ZBOT-Varianten sind im deutschsprachigen Trend Micro-Blog unter http://blog.trendmicro.de/... erhältlich.
Von: Martin Rösler, Director Threat Research bei Trend Micro