Suchen

Zeus-Odyssee Die Trojaner Zeus und LICAT – Antivirus-Anbieter entdeckt neue Variante

| Redakteur: Stephan Augsten

Sicherheitsforscher von Trend Micro haben eine neue Variante des Trojaners LICAT entdeckt, die Rückschlüsse auf Zeus alias Zbot zulässt. Die beiden Online-Banking-Trojaner sind eng miteinander verwandt und generieren nun mehr Domänen, von denen sie weiteren Schadcode beziehen. Dementsprechend wird auch die Arbeit von Antivirus-Herstellern erschwert.

Die Urheber der Online-Banking-Trojaner Zeus und LICAT erschweren den Antivirus-Herstellern die Arbeit.
Die Urheber der Online-Banking-Trojaner Zeus und LICAT erschweren den Antivirus-Herstellern die Arbeit.
( Archiv: Vogel Business Media )

Während Zeus mittlerweile fast jedem ein Begriff sein dürfte, ist LICAT eher unbekannt: Der Trojaner legt virulentes Verhalten an den Tag, indem er auf infizierten Systemen nach ausführbaren Dateien sucht, um diese zu modifizieren.

Wird eine entsprechende Datei geöffnet, dann generiert LICAT 800 Web-Adressen mithilfe Pseudo-zufälliger Buchstabenkombinationen. Anschließend versucht der Trojaner, mit jedem einzelnen dieser Ziele Kontakt aufzunehmen, um weitere Funktionen oder Schadcodes herunterzuladen und auszuführen.

Der Antivirus-Spezialist Trend Micro hatte erstmals im Oktober eine Verbindung zwischen LICAT und Zeus ausgemacht: Japanische Forscher hatten festgestellt, dass etliche der von LICAT generierten Domains sich mit denen decken, die Zeus für seine Zwecke nutzt.

Im Falle des überarbeiteten LICAT-Codes hat sich nun herausgestellt, dass der Algorithmus zur Domain-Generierung nun mit gänzlich neuen und noch dazu mit mehr Schlüsseln arbeitet. Außerdem verwendet die neue LICAT-Variante – im Gegensatz zum Original – keinen Schlüssel zweimal. Für die Antivirus-Hersteller hat das zur Folge, dass sich die Zahl der zu überwachenden und zu blockenden Domains verdoppelt.

Diese Entwicklung, von der als naher Verwandter auch Zeus betroffen sein könnte, wird nach Auffassung von Trend Micro weiter anhalten: „Wir erwarten, dass in den kommenden Wochen mehr LICAT-Varianten mit unterschiedlichen Schlüsseln auftauchen werden“, sagt Joseph Cepe, einer der Gefahren-Analysten von Trend Micro.

(ID:2048722)