Cyberkriminelle verwenden eine Mutation des berüchtigten Zeus-Trojaners, um Botnets zu bauen, die ohne zentrale Kontroll- und Kommando-Server auskommen. Dies berichten Virenjäger von Symantec. Das gefährliche daran: Derart «kopflose» Botnet lassen sich kaum noch ausschalten, denn jeder verseuchte PC fungiert im Peer-to-Peer-Verfahren sowohl als Befehlsempfänger wie auch als -geber.

Zeus ist unter Cyberkriminellen sehr beliebt, denn damit lassen sich von infizierten Systemen eine Vielzahl von Informationen, Dokumenten und Login-Daten stehlen. Schon seit einigen Jahren ist Zeus ein beliebtes Einbruchswerkzeug für Online-Bankräuber.
Nach Angaben der Symantec-Forscher war die jetzt gefundene Peer-to-Peer-Variante von Zeus eine Frage der Zeit. Nachdem der Quelltext von Zeus letztes Jahr in einschlägigen Untergrundforen veröffentlicht war, wurden eine Reihe von Veränderungen und «Verbesserungen» für den Trojaner programmiert. Im November 2011 identifizierten die Virenjäger eine Variante, mit wechselnden Kommandozentralen. Will heissen: Sobald ein Server als Befehlshaber entlarvt und ausgeschaltet wird, übernimmt ein weiterer infizierter Rechner das Kommando über das Botnet. Die nun entdeckte Mutation operiert nun komplett ohne zentrale Stelle.
Lesen Sie auf der nächsten Seite: Warum die Zeus-Variante ohne Kommandant auskommt

«Jeder Rechner im Botnet kann als zentraler Kommandoserver in Erscheinung treten, während keiner wirklich das Oberkommando inne hat», erklärt Andrea Lelli von Symantec. So seien die einzelnen Bots in der Lage, Befehle, Konfigurationsdateien und Applikationen von anderen Bots herunterzuladen, fährt sie fort. Gleichzeitig sei jeder infizierte Computer in der Lage, die entsprechenden Daten dem nächsten weiterzugeben. Um diese Funktionalität zu erreichen, mussten die Hacker dem Trojaner einen Kleinst-Webserver beigesellen. Dadurch ist jeder betroffene Rechner nun in der Lage unter Verwendung des HTTP-Protokolls sowohl Daten zu empfangen als auch zu senden.
Dadurch werden die Botnets robuster und lassen sich nicht so einfach mehr ausser Gefecht setzen. Gleichzeitig werden Botnet-Tracking-Systeme wie ZeusTracker bei ihrer Arbeit behindert. «ZeusTracker ist eine Webseite, die recht erfolgreich IP-Adressen von Rechnern veröffentlichte, die als Botnet-Zentralen dienten», beschreibt Lelli die Problematik und fügt an, dass ZeusTracker nun hierzu nicht mehr in der Lage sei.
Noch tappen die Virenjäger im Dunkeln, wie die Zeus-Variante nun gestohlene Daten ohne zentrale Kommandostelle an die Auftraggeber verschickt. «Wir sind dabei, uns das näher anzuschauen, um auch diesen Teil des Geheimnisses zu lüften», verspricht Lelli derweil.