Doch die Malware-Spezialisten von Caspersky fragen sich immer noch, warum sich die Betrüger die Mühen aufladen. Sinnvoller ist die Einbindung des Anonymisierungsnetzwerks TOR. Zeus verwaltet die Online-Banking-Betrügereien, indem es die Schnittstelle zum Browser-Prozess herstellt und dann die Webseiten der Banken entsprechend ausrichtet. Anscheinend kann sich eine aktualisierte Trojanerversion auch in 64-Bit-Prozesse einbinden.
Allerdings verwirren die Wissenschaftler noch ein wenig, wofür das gut ist, denn auch unter einem 64-Bit-Windows läuft fast jeder Browserprozess noch im Ein-Bit-Modus. Viel sinnvoller ist die Einbindung in das Anonymisierungsnetzwerk TOR. Der Trojaner beginnt geheim einen TOR-Proxy im Hintergrunds. Sämtliche Zugriffe von Webseiten, die über sie getätigt werden, werden über das TOR-Netzwerk abgewickelt und können daher nicht vom Webserver zurückverfolgt werden.
Zeus übermittelt dann auch ausgespähte Zugangsdaten an einen versteckten Tor-Dienst, der sich hinter der Zwiebeladresse egzh3ktnywjwjwabxb.onion versteckt befindet.
Nimm zum Beispiel einen Zeus-Trojaner in Einzelteile und fotografiere den Botnet-Master mit seiner eigenen Surfcam. Rashid Bhat analysierte den im Attachment einer Nachricht enthaltene Zeus-Trojaner und nutzte die erhaltenen Daten konsistent. Damit hat er nicht nur den Steuerungsserver des Botnets entführt, sondern stellt in seiner Auswertung auch ein Bild vor, das den Botnummaster vor seinem Computer darstellen könnte.
Die Debuggerin und Dissassemblierin IDA Pro stellte rasch fest, dass es sich um eine Weiterentwicklung des Online Banking Trojan Zeus handelt. Seine weitere Untersuchung ergab für den Wissenschaftler die IP-Adresse des Command&Control-Servers (C2C) und einen RC4-Schlüssel zur Ansprache. Das Unternehmen war in der Lage, seinen eigenen PHP-Code in der C2C-Webanwendung über eine in bestimmten Versionen von Zeus bekanntermaßen vorhandene Schwachstelle zu infiltrieren und auszuführen - selbst Verbrecher geben anscheinend keine Aktualisierungen ab.
ZeuS war eine Zeit lang eines der am meisten gefürchteten und weit verbreitetsten Malwareprogramme. Dabei haben sie auch die Daten der neuesten Malwareversion aufbereitet. Sie schauen sich auch die Verwaltungskonsole an, die den Trojaner steuert, eine Ansicht, die üblicherweise für Angreifer reserviert ist. Ein wesentlicher Erfolgsfaktor eines Banking-Trojaners sind so genannten Web-Injects.
Eine Webinjektion ist in der Regel mehrstufig. Der erste Schritt ist im vorliegenden Beispiel ganz simpel. Es ist nur für das Herunterladen zusätzlicher Dateien verantwortlich, die auf die jeweilige Ziel-Website abgestimmt sind. Dieser zweite Schritt des Webinjektes stellt sicher, dass auf der (Bank-)Website falsche Angaben angezeigt werden.
Der erste Schritt ist in der Tat in der Tat ein verschleiertes ASP. Auch die aktuelle Fassung von ZeuS bildet keine Ausnahmen. Beim Ausführen des Skripts werden einige Elemente abgefragt, wie z.B. die Browserversion. Außerdem werden hier eine Bot-ID und eine Injektions-URL zugewiesen. Die bemerkenswerteste Eigenschaft der für die zweite Phase der Webinjektionen heruntergeladenen Dateien ist ihre Grösse.
Manche von ihnen verfügen über Funktionen, die auf jeder beliebigen Website arbeiten und dazu dienen, Dateien zu entwenden (Form Grabber). Seit einiger Zeit hatten unsere Wissenschaftler auch Zugriff auf die Verwaltungsplattform, die in der Praxis meist nur von Hackern genutzt werden kann. Darin ist ersichtlich, dass die entwendeten Dateien unter anderem aus der Bot-ID, den entwendeten Zugriffsdaten, der Browser-Version und weiteren Angaben besteht.