Security Zeus Entwickler gibt den Code an Spy Eye weiter

[rat]

Seit Jahresanfang sorgt der Malwarebaukasten Zeus für Aufsehen und konkurrierte lange mit SpyEye.
Slavik hat nun den gesamten Code von seinem Meisterwerk Zeus an den SpyEye-Entwickler Harderman übertragen. Er hat sich nun vollständig aus der Entwicklung zurückgezogen. In Verbindung mit der Übergabe soll Harderman nun den Support für Zeus leisten.

Der Grund für den Rückzug des Entwicklers ist derzeit unbekannt aber er soll sich komplett aus dem Netz zurückgezogen haben. Es ist allerdings möglich, dass es Slavik zu heiss wurde da Ermittler auf ihn aufmerksam wurden und Zeus verstärkt für Aufmerksamkeit sorgte. Zeus ist beim Onlinebanking für eine zunehmende Zahl der finanziellen Schäden von betroffenen Bankkunden verantwortlich.Es ist nicht bekannt, ob Harderman Zeus weiter Entwickelt oder ihn mit in die Entwicklung von SpyEye aufnimmt.Der SpyEye wurde bisher immer als Zeus-Killer verkauft, der dazu in Lage ist Zeus auf infizierten Rechnern zu löschen.

Einen Erfolg konnten niederländische Ermittlungsbehörden gegen das Botnet Bredolab melden indem 143 Command & Control-Sever deaktiviert wurden. Rund 30 Millionen Rechner sollen mit dem Bredolab-Trojaner infiziert sein. Die Ermittler wollen das Botnetz bestehen lassen um so betroffene Anwender per Mail darüber zu informieren, wie Sie ihren Rechner von dem Trojaner befreien können und wie stark er infiziert worden ist.

Quelle: http://krebsonsecurity.com/2010/10/spyeye-v-zeus-rivalry-ends-in-quiet-merger/

 

[easteregg]

wie wollen die ermittler an die email adresse der betroffenen rankommen?
das finde ich ja auch ein bisschen grenzwertig, da wird man quasi von der polizei ausspoiniert "für den guten zweck" oder wie?
dann sollen die die rechner lieber direkt crashen lassen, damit die user gezwungen werden die kisten neu zu machen - ohne dass man private daten ausspäht.

 

[rat]

Das dürfen sie nicht sie sind dazu verpflichtet Kollateralschaden zu vermeiden oder findest du es gut wen du plötzlich daten verlierst die dir wichtig sind.Sie können nicht einmal vom Webinterface (C&C) des Zeus die Malware entfernen da es auch dort zu Kollateralschaden kommen kann. siehe diese News hier Und es hat Boom gemacht: Botnetz zerstört sich selbst.

Also ich denke sie sollten das Microsoft MSRT (Malicious Software Removal Tool) neu coden so das es per hide im Hintergrund läuft und es dann mit dem Download befehl des Bots auf die Dronen laden und ausführen so das die Malware entfernt wird. Selbst wen sie per email an die Infizierten user schreiben werden nicht ale die email öffnen,ich glaube mehr als die hälfte wird es nicht machen.

Das wäre z.b eine Möglichkeit um einen möglichst großen Schaden zu vermeiden.

 

[Mechanius]

Ist doch nett, wenn die Betroffenen per Email informiert werden. Eigentlich erwarte ich das der ISP der die jeweilige IP zur Verfügung stellt, solange seine Kunden vom Netz nimmt bis sie wieder "sauber" sind oder besser eine den Zugriff nur noch auf eine Seite mit Antvirentools gestattet.

 

[rat]

Im Prinzip ist das eine gute Sache den User dort hin zu schicken und ich habe davon schon öfters in Medien gelesen und Kenne eine Uni die an einem solchen Prinzip arbeitet.

Der User wird einfach Isoliert,ich wen Malware Traffic Analysiert wird.
Ich weiß nicht ob dieses jetzt ein Nachteil oder sogar irrelevant ist,aber im Großen und ganzen werden meist nur die richtig großen Botnetze gefunden und die kleineren von den Kiddies die sich in den Undergroundforen rumtreiben eher selten bis garnicht.

Also die Großen Botnet Herder machen es eher so das sie ihren Feind genau kennen und wissen wie lange der braucht um die Malware zu finden und zu Analysieren und dan eine Signatur dafür zu veröffentlichen. Und dafür hat der Herder schon ein neues sample parat was der AV Hersteller garnicht kennt.

In den Undergroundforen wo sich weniger erfahrene User tummeln und kaum einer die Techniken kennt und versteht um ein Botnet zu schützen wird es eher so gemacht das die Malware gegen sämtliche AVs FUD (Full Undeteced "so wird das im Underground genannt") gemacht wird.

Das sind nun nicht sämtliche Av ist aber nur ein Beispiel:

File Info

Report date: 2010-06-02 15:47:19 (GMT 1)
File name: Affliction.exe
File size: 798720 bytes
MD5 Hash: 81498e8081d9b624ba977256f582f2c7
SHA1 Hash: a7bed466f149687c96c9d99bab8f3d3eaf6abecb
Detection rate: 0 on 19 (0%)
Status: CLEAN

Detections

a-squared - -
Avast - -
AVG - -
Avira AntiVir - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
NOD32 - -
Panda - -
Solo - -
TrendMicro - -
VBA32 - -
VirusBuster - -
Zoner - -

Scan report generated by
NoVirusThanks.org

Die Kiddies verwenden kein SSL/TSL und auch keine Fast Flux oder Domain Flux Techniken um ihre Botnetze zu schützen.Dieses hat natürlich den Vorteil für den Provider das er den Traffic easy mitlesen kann und so sehen kann jo hier ist jemand mit einem Botnet Infiziert den Isolieren wir jetzt einmal aus dem Netz zu einer Seite mit AV Tools damit der der sein System reiniegen kann.Aber jetzt kommt der Haken an der Sache.Die Malware ist gegen sämtliche AVs (FUD) Full Undetecded und der user hängt da und weiß das er Infiziert ist aber kann das System nicht bereinigen weil kein Av etwas findet.


Die großen Botnet Herder setzten zum Schutz ihrer Botnetze SSL/TSL/Rootkits/Bootkits sowie Fast Flux und Domain Flux ein und kennen ihren feind. verwenden aber folgende Technik.

Erster Schritt: Verbreiten Cyberkriminelle eine Schaddatei, so ist es die wichtigste Aufgabe eines jeden Antiviren-Herstellers, diese zu erkennen und in den Besitz eines Samples des Schadprogramms zu gelangen. Dieses Ziel kann auf unterschiedliche Weise erreicht werden: Die Datei wurde von einem Betroffenen eingeschickt, es wurde von automatischen Abfangsystemen erkannt oder es gelangt auf Grund eines Dateiaustausches mit Partnern in das Antiviren-Labor usw. Berücksichtigt man die Besonderheiten bei der Verbreitung von Schädlingen, so gelingt es – ungeachtet der oben aufgezählten Möglichkeiten – nicht immer, an die entsprechende Signatur zu kommen – vor allem in den Besitz eines so genannten In-the-Wild-Samples zu gelangen.

Zweiter Schritt: Liegt ein Sample vor, so beginnt die Analyse. Dieser Schritt kann von automatisierten Systemen, aber auch von Virenanalysten durchgeführt werden. Als Resultat wird die Signatur den Antiviren-Datenbanken hinzugefügt.

Dritter Schritt: Nachdem die Signatur den AV-Datenbanken hinzugefügt wurde, beginnt ein Testverfahren. Die Aufgabe dieser Tests ist es, mögliche Fehler in den neu hinzugefügten Signaturen aufzudecken.

Vierter Schritt: Nach Abschluss der Tests wird dem Anwender des Antiviren-Produkts ein Update zur Verfügung gestellt.

Den gesamten Prozess bis zur Veröffentlichung eines Updates der Antiviren-Datenbanken kennen Cyberkriminelle aus dem Effeff. Sie sind bestens darüber informiert, wie lange es dauert, die Updates zu veröffentlichen und wissen, dass die Entdeckung ihrer Programme nur eine Frage der Zeit ist. Gerade deshalb wählen sie häufig folgende Angriffstaktik: Sie attackieren mit einer Schaddatei Anwender und nach einigen Stunden – wenn die Antiviren-Programme diese langsam aufgespürt haben – steht schon das nächste Schadprogramm zur Veröffentlichung bereit, die nun auch einige Stunden „entdeckungsfrei“ bleiben wird.

Hier ist eine Traffic Analyse weit aus schwerer als bei den Kiddies.