Sicherheitsexperten von Trusteer haben eine potente Malware-Kreuzung im Netz ausgemacht: Der millionenfach verbreitete Wurm Ramnit, der laut Symantec im Juli beinahe 20 Prozent aller entdeckten Malware-Samples ausmachte, wurde mit Funktionen des berüchtigten Banking-Trojaner ZeuS angereichert. Aus dem Daten- und Passwortdieb wurde also ein Gelddieb.

Die Experten fanden im Code des mutierten Wurms Teile, die denen von ZeuS sehr stark ähneln. Darunter die Definition der Konfigurationsdatei und die wohl wichtigste Funktion von ZeuS: ein Modul zum Einschleusen von HTLM-Code in die Webseiten von Banken. Der Verdacht, dass ZeuS Pate stand, liegt nahe: Seit einigen Monaten kursiert der Quellcode der Banking-Malware frei im Netz und der angereicherte Wurm Ramnit dürfte der erste wirklich massenhaft verbreitete Schädling sein, der mit Hilfe der ZeuS-Daten umfunktioniert und zur Hybrid-Malware wurde. Ein anderes Beispiel für eine Schadsoftware, die eindeutig auf ZeuS basiert, ist das vor wenigen Tagen aufgetauchte Ice IX. Laut Kaspersky wird der Banken-Schädling für nur 1800 US-Dollar im Cyber-Untergrund verkauft.

Insbesondere das HTML-Injection-Modul ist es, was ZeuS und seinen Ableger SpyEye so gefährlich macht. Die Funktion schleust beispielsweise passgenau zusätzliche Eingabefelder in die Bankenwebseite und fischt so Logindaten ab. All das passiert im Browser des Opfers, so dass Sicherheitsmechanismen auf dem Server wirkungslos bleiben. Im Trusteer-Blog findet sich ein Screenshot, der ein solches eingefügtes Formularfeld zeigt.

Das Problem von solchen Malware-Kreuzungen liegt auf der Hand: Bislang mussten Banken und Strafverfolger sich mit einer ziemlich kleinen Schädlingsfamilie auseinander setzen. ZeuS und später SpyEye dominieren die Welt der Finanzschädlinge. Wenn deren Funktionalität jetzt aber nach und nach in immer neue Vertreter aus dem schier endlosen Malware-Pool injiziert wird, sehen sich die Verteidiger einer immensen Flut aus verschiedensten Bedrohungen gegenüber.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.