Der auch als ZeusBot bezeichnete ZBot-Trojaner ist kein Unbekannter. Der Schädling verbreitet sich überwiegend über Spam-Mails und bösartige Webseiten. Sobald ZBot einen Rechner befallen hat, spioniert er Onlinebanking-Daten, Systeminformationen und andere private Daten aus. Darüber hinaus generiert er Screenshots des Desktops. Aktuelle ZBot-Varianten können zudem den Verlauf besuchter Webseiten sowie online eingegebene Daten ausspähen.

Derzeit versteckt sich der digitale Unhold auch hinter JavaScript-Weiterleitungen, wie Bitdefender entdeckte. Nach einer Meldung „Please wait page is loading“ wird eine zweite JavaScript-Datei aufgerufen, hinter der sich nach Bitdefender-Angaben die Malware Trojan.JS.Redirector.YF verbirgt. Diese wird unter der Bezeichnung „js.js“ automatisch in einem Ordner mit zufällig generiertem Namen gespeichert. Die bösartige JS-Datei wurde bereits auf eine Vielzahl von Servern gepflanzt, die eigentlich saubere Webseiten hosten – wahrscheinlich als Folge eines FTP-Zugangsdaten-Diebstahls. Dieses Skript hat den alleinigen Zweck, den Benutzer auf eine Exploit-Seite zu schleusen, quasi als letzte Station dieser „Umleitungsreise“.

Hinter dieser zweiten HTML-Seite verbirgt sich ein Java-Applet (Exploit.Java.CVE-2010-0840.P), das nun dazu verwendet wird, eine ZBot-Variante namens Trojan.Zbot.HTQ herunterzuladen und zu installieren.

Für User, deren Rechner mit dem ZBot-Trojaner infiziert ist, stellt Bitdefender unter www.malwarecity.com ein Removal-Tool zur Verfügung.

Quelle: Bitdefender