Zeus ist nicht nur der Name des Göttervaters auf dem Olymp, sondern auch die Bezeichnung für ein trojanisches Pferd. Die Malware ist auf den Diebstahl von vertraulichen Informationen spezialisiert, dazu gehören etwa Zugangsdaten oder Informationen zum infizierten System. Zeus lässt sich mit Hilfe sogenannter Toolkits erstellen, welche die Entwickler der Toolkits an andere Kriminelle vermarkten - mit ein Grund für die vielen Varianten der Malware. Normalerweise wird Zeus per Social Engineering verteilt, unter anderem mit gefälschten E-Mails großer Firmen (darunter auch Microsoft), welche die Nutzer auf gefälschte Webseiten locken und dort entweder Schwachstellen im Browser für die Infektion ausnutzen (Drive-by-Infektion) oder den Nutzer dazu bringen, eine Datei zu installieren.

Methode Nummer 2 wurde laut Symantec seit Januar 2012 genutzt, um zahlreiche Unterstützer des Kollektivs Anonymous zu infizieren. Im Zuge der FBI-Durchsuchung von Megaupload riefen Teile von Anonymous zu Protesten in Form von DDoS-Attacken auf. Dazu sollten sie das Tool Slowloris nutzen, um zentral gesteuert gegen Webseiten vorzugehen. Die passende Anleitung dazu wurde in PasteBin veröffentlicht, eine Art Schwarzes Brett, auf dem jeder Nutzer anonym Daten veröffentlichen kann.

Das Problem dabei: Während die ursprüngliche Anleitung seit Mai 2011 online war, erschien am 12. Januar ein neuer Eintrag, der dem früheren aufs Wort ähnelt - zumindest fast. Die verlinkte Datei wurde gegen eine infizierte Version von Slowloris ausgetauscht. Der Austausch fiel nicht auf, im Gegenteil, noch heute wird der Link zur infizierten Version laut Symantec in einer „offiziellen“ DDoS-Anleitung und per Twitter weitergegeben.

Die manipulierte Version von Slowloris ist laut Symantec noch immer funktionsfähig - nur bringt sie einige unerwünschte Zusatzfunktionen. So stielt sich nicht nur Cookies, Zugangsdaten zu Googlemail oder Bankkonten, die infizierten Rechner nehmen auch in DDoS-Attacken auf Ziele von Anoymous teil - egal ob es der Nutzer möchte oder nicht.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.