Andrea Lelli berichtete kürzlich im Symantec-Blog ausführlich über eine neue Variante von Zeusbot/Spyeye, die eine Peer-to-Peer-Architektur (P2P) zur Kommunikation nutzt und damit eine der größten Schwächen des originalen Zeusbot eliminiert.

Ursprünglich kommunizierte der aufs Angreifen von Online-Banking-Sessions spezialisierte Trojaner nämlich direkt mit seinem C&C-Server (Command & Control) – und eine solche Kommunikation kann unterbunden werden, da sie geblockt oder der Server aus dem Netz genommen werden kann. Die Folge: Der Angreifer verliert die Kontrolle über das Bot-Netz. In einem solchen Fall konnte Zeusbot zwar praktisch zufällige Domain-Namen kontaktieren, die vom Angreifer vorhergesagt und registriert werden konnten, um so die Kontrolle über sein Bot-Netz zurückzuerlangen. Besonders effizient ist diese Methode jedoch aus Sicht der Bot-Macher nicht.

Die nun entdeckte modifizierte Zeusbot/Spyeye-Variante löst dieses Problem – aus Sicht der Bot-Jäger: leider – wesentlich eleganter und effektiver. Sie enthält als Fallback-Methode eine Liste von IP-Adressen, die allerdings nicht zu Servern, sondern zu anderen infizierten Client-Rechnern gehören. Diese Clients tauschen untereinander Konfigurationsdaten aus, wozu unter anderem auch die URL des C&C-Servers gehört. Wird dieser Server nun geblockt, kann der Angreifer über die P2P-Vernetzung alle infizierten Clients mit einer neuen Konfiguration – und einer URL für einen neuen C&C-Server – versorgen.

Diese P2P-Vernetzung kann nicht so ohne weiteres unterbunden werden. Die betroffenen IPs sind ja ganz normale Home- und Office-Rechner, ihre Blockade würde also grundsätzlich legitimen Netzwerkverkehr unterbinden. Zudem kann die IP-Liste in einem P2P-Netzwerk so schnell auf den neuesten Stand gebracht werden, dass allein die Verfolgung der IP-Adressen eine Herausforderung ist. Bei Symantec glaubt man zudem, dass der C&C-Server nicht an der eigentlichen Kontrolle der Peers beteiligt ist, die P2P-Vernetzung wäre dann komplett autonom überlebensfähig.

Alles in allen ist die P2P-Methode damit deutlich effektiver als die alte Server-basierte Fallback-Methode des originalen Zeusbot und kann die Lebenserwartung eines Bot-Netzes spürbar erhöhen.

Laut Lelli scheinen die von Symantec aufgefundenen Samples übrigens allesamt aus einer einzigen Quelle zu stammen: Sie sind mit identischen Techniken gepackt und der Binär-Code des entpackten Virus weist nur in Details Unterschiede auf. Bei Symantec vermutet man daher, dass es sich bei der neuen Variante um einen privaten Build handelt. Bisher ist die Anzahl der sicher als infiziert identifizierten Maschinen mit maximal 1000 noch relativ niedrig.