zurück zum Artikel

Verbreitung eines Trojaners

Praxis & Tipps | Tipps & Tricks

Ich würde gerne wissen, wie sich die Linux-Version des Hand-of-Thief-Trojaners verbreitet und installiert. Einfaches Klicken einer URL sollte ja nicht einfach ein Installationsskript ausführen können, oder?

Ich würde gerne wissen, wie sich die Linux-Version des Hand-of-Thief-Trojaners verbreitet und installiert. Einfaches Klicken einer URL sollte ja nicht einfach ein Installationsskript ausführen können, oder?

Es gibt keine strikte Korrelation zwischen Verbreitungsmethode und Payload. Das Ausspionieren von Online-Banking-Daten und das Infizieren eines Systems sind getrennte Aufgaben, die auch von getrennten Programmen übernommen werden. Die kriminelle Szene arbeitet arbeitsteilig. Cybergangster kombinieren je nach Gusto und Finanzkraft die Möglichkeiten unterschiedlich.

Dabei ist es (in der Windows-Welt – nur da liegen bereits ausreichend Erfahrungen vor) durchaus üblich, einen Trojaner sowohl über E-Mails (etwa mit einem Anhang „Rechnung.zip“) als auch über speziell präparierte Webseiten (mit sogenannten Exploit-Kits) zu verteilen.

Die kann man auch getrennt kaufen – also etwa den Online-Banking-Trojaner „Zeus“ für 2000 Euro von XYZ und dann kauft man eine Adressenliste ein und mietet beim Bot-Netz ABC die Kapazitäten, eine passend gestaltete Mail mit Dateianhang zu verschicken. Die nächste Gang macht das wieder ganz anders. Die kauft zwar auch „Zeus“, aber dazu ein Exploit-Kit wie Blackhole, das gezielt eine ganze Reihe von Sicherheitslücken abklappert, um bei Erfolg von einer bestimmten URL den eigentlichen Trojaner nachzuladen und zu starten. Das gibt es zum Teil sogar als „hosted“-Lösung, zusammen mit einem „Bullet-Proof“-Server – der also einem Hoster gehört, dem nur schwer beizukommen ist.

Allerdings ist mir derzeit noch kein kommerzielles Exploit-Kit bekannt, das brauchbare, sprich funktionierende Linux-Exploits hätte. Also spricht einiges dafür, dass HoT via E-Mail ins Haus kommt. Es existieren auch diverse Zwischenformen der Verbreitung wie etwa trojanisierte Downloads in Raubkopier-Foren, Torrents, One-Click-Downloads oder im Usenet, Popups, die zur Installation eines Video-Codecs auffordern, und dergleichen mehr. (ju)


URL dieses Artikels:
http://www.heise.de/-2056926