Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist Zeus Trojaner-Malware (Zbot)?
Cybersecurity 101/Cybersecurity/Zeus Trojaner-Malware

Was ist Zeus Trojaner-Malware (Zbot)?

Zeus Trojaner-Malware fängt Bankzugangsdaten ab, bevor diese durch Verschlüsselung geschützt werden. Dieser Leitfaden behandelt die Funktionsweise von Zeus-Malware, ihre Kernkomponenten und Erkennungsstrategien. Sie erfahren mehr über Man-in-the-Browser-Angriffe, Speicherinjektionstechniken und wie Sie Erkennungsregeln für Zeus-basierte Bedrohungen erstellen, die auf Ihr Unternehmen abzielen.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist Zeus Trojaner-Malware?
Was unterscheidet den Zeus Trojaner von anderer Malware
Zeus Trojaner-Varianten und die Malware-Familie
Bezug des Zeus Trojaners zur Cybersicherheit
Auswirkungen von Zeus Malware auf Organisationen
Wie Zeus Trojaner-Malware funktioniert
Kernkomponenten der Zeus Malware
Schlüsselfunktionen der Zeus Malware
Wie sich der Zeus Trojaner verbreitet
Indicators of Compromise (IOCs) für Zbot-Infektionen
Wie man Zeus Trojaner-Malware erkennt
Wie man Zeus Malware von Systemen entfernt
Best Practices zur Verhinderung von Zeus Trojaner-Angriffen
Stoppen Sie Zeus Trojaner-Bedrohungen mit SentinelOne
Wichtige Erkenntnisse

Verwandte Artikel

  • Was ist Session Fixation? Wie Angreifer Benutzersitzungen kapern
  • Ethical Hacker: Methoden, Tools & Karrierepfad-Leitfaden
  • Was sind adversariale Angriffe? Bedrohungen & Abwehrmaßnahmen
  • Cybersecurity im öffentlichen Sektor: Risiken, Best Practices & Frameworks
Autor: SentinelOne
Aktualisiert: January 5, 2026

Was ist Zeus Trojaner-Malware?

Wenn Sie Ihr Bankpasswort auf einer scheinbar legitimen Website eingeben, erfasst Zeus diese Daten direkt aus Ihrem Browser auf Anwendungsebene, bevor der SSL/TLS-Schutz sie für die Übertragung an den Server verschlüsselt. Zeus etablierte die grundlegende Architektur für Finanz-Cyberkriminalität als Banking-Trojaner, der Anmeldedaten auf Browser-Ebene abfängt, bevor eine Verschlüsselung erfolgt. Laut dem US-Justizministerium stahlen Zeus-Operationen allein durch strafrechtlich verfolgte Fälle 3 Millionen US-Dollar aus einem einzigen Cybercrime-Ring.

Die Malware tauchte 2007 auf und etablierte die Architektur, die moderne Banking-Trojaner noch heute nutzen. Das FBI dokumentierte, dass GameOver Zeus allein bis 2009 3,6 Millionen PCs in den USA infizierte, bevor die Strafverfolgungsbehörden das Botnetz 2014 störten. Auch wenn Zeus nicht im CIS Top 10 Malware Q1 2025 Bericht auftaucht, lebt seine technische DNA in aktuellen Bedrohungen weiter. Sie bekämpfen von Zeus abgeleitete Banking-Trojaner, die seine wegweisende Man-in-the-Browser- und modulare Architektur übernommen haben.

Zeus Malware - Featured Image | SentinelOne

Was unterscheidet den Zeus Trojaner von anderer Malware

Zeus war Vorreiter bei Man-in-the-Browser (MitB)-Angriffen, die Daten auf Anwendungsebene abfangen. Während Keylogger lediglich Tastenanschläge aufzeichnen, verändert Zeus den Webverkehr in Echtzeit. Wenn Sie die Website Ihrer Bank laden, injiziert Zeus bösartigen Code direkt in die Seite, bevor Sie sie sehen. Die Oberfläche sieht identisch zur legitimen Seite aus, weil es die legitime Seite ist – mit dem unsichtbar darüberliegenden Code von Zeus.

Wenn Zeus auf Ihrem System aktiv ist, fängt er Formulardaten direkt im Browser ab, bevor eine Verschlüsselung erfolgt. Ihr SSL-Zertifikat wird als grün und gültig angezeigt, und die Verschlüsselungsverbindung bleibt sicher. Dennoch sammelt Zeus jede von Ihnen eingegebene Anmeldeinformation auf Anwendungsebene auf Ihrem kompromittierten System, bevor der Browser mit der Verschlüsselung beginnt.

Zeus Trojaner-Varianten und die Malware-Familie

Sie haben es mit mehreren Generationen von Zeus-abgeleiteten Banking-Trojanern zu tun.

Erste Generation (2007-2011):

  • Zeus (2007): Etablierte MitB- und Form-Grabbing-Architektur
  • GameOver Zeus (2011): CISA bestätigt, dass die P2P-Variante zentrale C2-Server eliminierte und so Takedowns erheblich erschwerte
  • Citadel (2011): Entwickelte sich als „Open-Source“-Banking-Trojaner für kriminelle Anpassungen
  • Zeus Mobile (Zitmo): Erweiterung auf mobile Plattformen zur Erfassung von Zwei-Faktor-Authentifizierungscodes

Nachfolger (2014-2016):

  • Dridex (2014): Über Spam-Kampagnen verbreitet
  • Dyre (2014): Verfügt über HTTPS-Bypass-Funktionen
  • Trickbot (2016): Eine Dyre-Variante mit Online-Konfigurationen und modularer Architektur

Laut Netskopes Cloud and Threat Report 2025 bleiben Zeus-Derivate wie Zusy (TinyBanker) aktiv und zielen weiterhin mit von Zeus entwickelten Code-Injection-Techniken auf Bankdaten ab.

Bezug des Zeus Trojaners zur Cybersicherheit

Signaturbasierte Erkennung hat Schwierigkeiten mit Zeus, da die Umgehungstechniken der Malware – einschließlich polymorpher Verschlüsselung in Version 1.4, die jede Infektion einzigartig macht – traditionelle Antivirus-Signaturen unzureichend machen. Sicherheitsteams müssen verhaltensbasierte KI-Erkennung und Defense-in-Depth-Strategien implementieren, um sich gegen sich weiterentwickelnde Bedrohungen zu schützen.

Das Verständnis dieser Cybersicherheits-Implikationen hilft beim Aufbau von Abwehrmaßnahmen, aber die Quantifizierung des organisatorischen Schadens zeigt, warum Zeus-abgeleitete Bedrohungen höchste Priorität haben.

Auswirkungen von Zeus Malware auf Organisationen

Wenn Zeus Ihre Organisation kompromittiert, stehen Sie vor Kaskadeneffekten, die über die Erstinfektion hinausgehen. Die Malware stiehlt Bankdaten durch Man-in-the-Browser-Angriffe, sammelt Unternehmens-E-Mail-Zugangsdaten für Business Email Compromise und erfasst VPN-Zugangsdaten. Laut technischer Analyse von IOActive erstellt Zeus versteckte Dateien in \windows\system32\lowsec\ mit verschlüsselten ausführbaren Dateien, die der Erkennung entgehen.

Ihre Incident-Response-Kosten steigen. Laut Office of the Comptroller of the Currency müssen Finanzinstitute bedeutende IT-Sicherheitsvorfälle zeitnah an die Bundesbankaufsicht melden.

Der Diebstahl von Zugangsdaten führt zu einem Identitätskompromittierungsproblem, das die Malware-Infektion überdauert. Laut Incident-Response-Leitfaden von SpyCloud bleiben gestohlene Zugangsdaten nach bloßer Malware-Entfernung für Angreifer aktiv und ermöglichen  Ransomware-Bereitstellung oder persistierenden Zugriff Wochen nach Erkennung und Entfernung.

Um sich effektiv gegen diese Auswirkungen zu verteidigen, müssen Sie genau verstehen, wie Zeus seine Angriffskette von der Erstinfektion bis zur Exfiltration von Zugangsdaten ausführt.

Wie Zeus Trojaner-Malware funktioniert

Zeus erreicht Ihre Endpunkte über Exploit-Kits, die Drive-by-Downloads ausliefern, Phishing-Kampagnen mit bösartigen Anhängen und kompromittierte legitime Websites, die Malware bereitstellen. Nach Beginn der Ausführung dokumentiert Cisco Talos Intelligence ein schnelles Eskalationsmuster.

Post-Infektions-Zeitachse:

  • Millisekunden: HTTP-GET-Anfrage an C2-Server
  • Millisekunden bis Sekunden: Download des binären Konfigurations-Blobs (C2-Antwort)
  • Sekunden: Konfigurationsdatei wird auf dem System abgelegt
  • Sekunden: Malware registriert sich mit gepaarten HTTP-POST-Anfragen
  • Laufend: Zugangsdaten-Diebstahl durch Keylogging, Form Grabbing, Web Injection

Der Dropper entpackt den Haupt-Zeus-Bot in den Speicherbereich 0x00b70000 mit PAGE_EXECUTE_READWRITE-Schutz. Der Kern-Bot etabliert Persistenz im Windows-Systemverzeichnis, erstellt versteckte Dateien für Tastenanschlagspeicherung, Konfigurationsdaten und das verschlüsselte Bot-Executable. Laut technischer Analyse von IOActive hakt Zeus die NtQueryDirectoryFile-API-Funktion, um Dateien bei der Dateisysteminspektion auf der Festplatte zu verbergen.

Dieser schnelle Angriffsverlauf basiert auf der modularen Architektur von Zeus, die es Kriminellen ermöglicht, einzelne Funktionen zu aktualisieren, ohne kompromittierte Systeme neu zu infizieren.

Kernkomponenten der Zeus Malware

Das Verständnis jeder Komponente hilft Ihnen, Erkennungsmöglichkeiten entlang der Angriffskette zu identifizieren.

  • Verstecktes Dateisystem: Zeus arbeitet aus \windows\system32\lowsec\ mit versteckten Dateien für Tastenanschlagspeicherung (user.ds), Konfiguration (local.ds) und das verschlüsselte Bot-Executable. Zeus hakt NtQueryDirectoryFile, um diese Dateien vor Standard-Erkennungstools zu verbergen.
  • Command-and-Control-Infrastruktur: Traditioneller Zeus nutzte zentrales C2 mit HTTP-GET/POST für Konfiguration und Exfiltration. GameOver Zeus beseitigte diese Schwachstelle mit P2P-Architektur, bei der infizierte Systeme direkt kommunizieren, was Takedowns laut CISA erheblich erschwert.
  • Browser-Injektionsmodule: Zeus unterhält browserspezifische Module für Firefox, Chrome und IE, die Formulardaten vor der Verschlüsselung abfangen und bösartige Inhalte in Banking-Seiten injizieren. Konfigurationsdatei-Updates ermöglichen das Anvisieren neuer Banken, ohne kompromittierte Systeme neu zu infizieren.

Diese Architekturkomponenten ermöglichen die Kernangriffsfähigkeiten von Zeus, die Ihre Bankdaten und Finanzdaten direkt kompromittieren.

Schlüsselfunktionen der Zeus Malware

  • Form Grabbing: Die Malware fängt Daten auf Anwendungsebene ab, während Sie Webformulare ausfüllen. Wenn Sie Ihren Benutzernamen eingeben, erfasst Zeus diese Daten, bevor Ihr Browser sie zur Übertragung verschlüsselt. Dies geschieht unabhängig von der Sicherheitsimplementierung der Website, da Zeus auf Ihrer Seite des Verschlüsselungsprozesses arbeitet.
  • Web Injection: Zeus verändert Bankwebsites in Echtzeit, indem er bösartiges JavaScript und HTML in legitime Seiten injiziert. Sie sehen zusätzliche Formularfelder, die Informationen abfragen, nach denen Ihre Bank nie fragt. Diese injizierten Felder sehen identisch zur legitimen Oberfläche aus, da Zeus das Design der Bank exakt nachahmt.
  • Keylogging: Vollständige Erfassung von Tastenanschlägen dient als Backup für Zugangsdaten-Diebstahl, wenn Form Grabbing fehlschlägt. Zeus protokolliert jeden Tastenanschlag über Kernel-Level-Hooks und speichert die Daten in der versteckten user.ds-Datei mit Screenshots für zusätzlichen Kontext.
  • Credential Exfiltration: Zeus verpackt gestohlene Zugangsdaten und überträgt sie per HTTP-POST-Anfragen an die C2-Infrastruktur. Laut Cisco Talos Intelligence verwenden die POST-Anfragen der Malware identische Dateinamen, sodass Betreiber Sitzungen korrelieren und Benutzerprofile rekonstruieren können.

Diese Fähigkeiten machen Zeus nach der Installation verheerend, weshalb das Verständnis seiner Verbreitungsmethoden hilft, Infektionen zu blockieren, bevor Credential Theft beginnt.

Wie sich der Zeus Trojaner verbreitet

Die Verbreitung von Zeus basiert auf Social Engineering statt automatisiertem Wurmverhalten.

  • Phishing-Kampagnen: CISAs Zeus-Warnung vom März 2010 dokumentierte weit verbreitete Phishing-Kampagnen, die FBI, IRS und große Finanzinstitute imitierten. Das Social Engineering nutzte Dringlichkeit, um Klicks zu erzwingen, bevor Empfänger die Legitimität prüften.
  • Exploit-Kits: Zeus-Operatoren verteilten die Malware über Exploit-Kit-Infrastruktur, die Browser-Schwachstellen automatisiert ausnutzte. Beim Besuch einer kompromittierten Website profilierte das Exploit-Kit Ihren Browser und lieferte Exploits für ungepatchte Schwachstellen aus.
  • Kompromittierte legitime Websites: Die Verbreitung von Zeus nutzte häufig vertrauenswürdige Websites statt offensichtlich bösartiger Infrastruktur. Ihre Nutzer besuchten vertraute Domains und erhielten Zeus-Infektionen von Seiten, denen sie keinen Grund hatten zu misstrauen.
  • Bereitstellung sekundärer Nutzlasten: GameOver Zeus-Operationen verteilten CryptoLocker-Ransomware parallel zum Zugangsdaten-Diebstahl. Nach der Entfernung von Zeus sollten Sie auf weitere persistente Bedrohungen untersuchen.

Sobald Zeus über diese Vektoren in Ihre Umgebung eindringt, benötigen Sie zuverlässige Indikatoren, um aktive Infektionen vor Abschluss der Zugangsdaten-Exfiltration zu erkennen.

Indicators of Compromise (IOCs) für Zbot-Infektionen

Sie benötigen verhaltensbasierte Erkennung und netzwerkbasierte Indikatoren, da die polymorphe Verschlüsselung von Zeus jede Infektion einzigartig macht und signaturbasierte Erkennung unpraktisch ist.

  1. Netzwerkverhaltensmuster: Laut Cisco Talos Intelligence zeigt Zeus charakteristische Verkehrsmuster: HTTP-GET-Anfragen erhalten binäre Konfigurations-Blobs mit Content-Type application/octet-stream, gefolgt von gepaarten HTTP-POST-Anfragen zur Registrierung.
  2. Artefakte der Speicherforensik: Bei Verwendung des Volatility-Frameworks suchen Sie nach privaten Speicherbereichen mit PAGE_EXECUTE_READWRITE-Schutz an der Adresse 0x00b70000, wo Zeus sein Haupt-Bot-Image entpackt.
  3. MITRE ATT&CK-abgebildete Verhaltensweisen: Überwachen Sie Systeminformationsabfragen mit cmd /c systeminfo-Befehlen (T1082), verfolgen Sie Registry-Änderungen zur Persistenz und API-Hooking zur Tarnung, beobachten Sie Keylogging-Aktivitäten und Form Grabbing, überwachen Sie Prozessinjektion und speicherbasierte Ausführung und korrelieren Sie HTTP-Beaconing-Muster.
  4. Erkennungsprinzip: Korrelieren Sie diese einzelnen Indikatoren, da Zeus mehrere verdächtige Verhaltensweisen in koordinierten Mustern zeigt, nicht als isolierte Vorfälle. Verhaltensbasierte Erkennung, die auf bösartige Aktionen fokussiert, ist effektiver als signaturbasierte Erkennung gegen polymorphe Zeus-Varianten.
  5. Verifizierte Sample-Hashes: ANY.RUN und MalwareBazaar führen bestätigte Zeus-Sample-Repositorien. Der SHA-256-Hash 18022d8613b4c36e502f9962ce27d4bb9f099d5659d44f82683b63f704873dcf repräsentiert eine bestätigte Zeus-Variante mit beobachtbaren Infektionsmerkmalen. Hash-basierte Erkennung bietet jedoch nur punktuelle Relevanz, da polymorphe Varianten bei jeder Infektion neue Hashes erzeugen.

Zu wissen, wonach Sie suchen müssen, ist nur die halbe Herausforderung. Die Umsetzung dieser IOCs in umsetzbare Erkennung erfordert die richtigen Tools und Methoden.

Wie man Zeus Trojaner-Malware erkennt

Signaturbasierte Erkennung versagt bei Zeus aufgrund mehrerer Umgehungstechniken. Laut Secureworks führte Zeus Version 1.4 polymorphe Verschlüsselung ein, wodurch jede Infektion einzigartig wird.

  • Anforderungen an Verhaltensanalytik: Setzen Sie  Endpoint Detection ein, die Kernel-Prozessaktionen und Speicherverbrauchsmuster überwacht. Zeus zeigt spezifische Verhaltensweisen, die über Varianten hinweg bestehen: API-Hooking zur Tarnung, Speicherinjektion zur Ausführung, Form Grabbing zur Abfangung von Bankdaten und Keylogging. SentinelOnes  Behavioral AI Engine überwacht Kernel-Level-Prozessaktionen, um Zeus-Varianten unabhängig von polymorpher Verschlüsselung zu erkennen.
  • Netzwerkverkehrsanalyse: Netzwerk-Beaconing-Verhalten zur C2-Infrastruktur bietet zuverlässige Erkennung. Zeus muss mit externen Servern kommunizieren, um Konfigurationen zu empfangen und Zugangsdaten zu exfiltrieren.  Threat Intelligence-Funktionen ermöglichen die Erkennung von Zeus-C2-Kommunikation durch Analyse von Verkehrsmustern.
  • Endpoint Detection and Response: Ihr  XDR muss Sichtbarkeit für Prozessinjektion, DLL-Ladevorgänge und API-Hooking-Verhalten bieten.

Wenn die Erkennung die Präsenz von Zeus in Ihrer Umgebung bestätigt, ist eine schnelle und gründliche Entfernung entscheidend, um die Exposition von Zugangsdaten zu begrenzen.

Wie man Zeus Malware von Systemen entfernt

Die Entfernung von Zeus erfordert einen vollständigen Reset der Zugangsdaten neben der Beseitigung der Malware. Die Malware selbst ist nur die halbe Herausforderung, da gestohlene Zugangsdaten nach der Entfernung weiterhin gültig bleiben.

  • Sofortige Eindämmung: Isolieren Sie infizierte Systeme vom Netzwerk, bevor Sie mit der Entfernung beginnen. Blockieren Sie Zeus-C2-Domains an Ihren DNS- und Firewall-Perimetern.
  • Forensische Sicherung: Erfassen Sie Speicherabbilder vor dem Herunterfahren des Systems. Verwenden Sie das Volatility-Framework zur Analyse von Prozessinjektionsindikatoren.
  • Malware-Beseitigung: Setzen Sie EDR-Lösungen mit Kernel-Level-Verhaltensüberwachung ein, um die Umgehungstechniken von Zeus zu erkennen. Die autonomen Reaktionsfunktionen von SentinelOne beheben Zeus-Infektionen in Maschinengeschwindigkeit, mit  Ransomware Rollback zur Wiederherstellung des Systems auf den Zustand vor dem Angriff.
  • Identitätsbereinigung: Setzen Sie Passwörter für alle vom infizierten Gerät aus genutzten Anwendungen zurück. Invalideren Sie alle Web-Sitzungen und Authentifizierungstoken.
  • Validierung und Überwachung: Überprüfen Sie die vollständige Malware-Entfernung durch mehrere Scan-Methoden. Überwachen Sie betroffene Systeme mindestens 30 Tage lang auf Reinfektionsindikatoren.

Reaktive Entfernung adressiert akute Infektionen, aber die Verhinderung eines initialen Zugriffs von Zeus bietet einen deutlich höheren Sicherheitswert.

Best Practices zur Verhinderung von Zeus Trojaner-Angriffen

Die Prävention von Zeus erfordert eine Defense-in-Depth-Architektur, da keine einzelne Maßnahme Banking-Trojaner zuverlässig stoppt.

  • Netzwerksegmentierung: Segmentieren Sie Ihr Netzwerk so, dass Workstations keinen direkten Zugriff auf Server mit sensiblen Daten haben.
  • Zero Trust Architecture: Implementieren Sie die Prinzipien der NIST SP 800-207  Zero Trust Architecture, die jede Zugriffsanfrage unabhängig vom Netzwerkstandort als nicht vertrauenswürdig behandelt.
  • Multi-Faktor-Authentifizierung mit Sitzungsüberwachung: MFA bietet Schutz, indem zwei oder mehr Verifizierungsformen vor dem Kontozugriff erforderlich sind. Allerdings nutzt Zeus Man-in-the-Browser-Techniken, die sitzungsbasierte Authentifizierung umgehen können, sodass MFA allein nicht ausreicht.
  • Verhaltensbasierte Erkennungssysteme: Setzen Sie Endpunktschutz ein, der über signaturbasierte Methoden hinausgeht. Zeus zeigt spezifische Verhaltensmuster, die verhaltensbasierte Systeme unabhängig von Codesignaturen erkennen.
  • Kontinuierliche Überwachungsinfrastruktur: Implementieren Sie kontinuierliche Überwachung auf Zeus-C2-Muster, bevor Zugangsdaten exfiltriert werden.  Purple AI von SentinelOne nutzt natürliche Sprache zur Beschleunigung von Bedrohungsuntersuchungen und unterstützt SecOps mit KI-gestützter Analyse, automatischen Zusammenfassungen und Vorschlägen für Threat-Hunting-Abfragen.
  • Regulatorische Compliance: Finanzinstitute müssen Vorfälle gemäß CIRCIA melden und NIST Cybersecurity Framework-Kontrollen implementieren.

Die Umsetzung dieser Best Practices schafft eine starke Verteidigungsbasis, aber moderne Banking-Trojaner erfordern ebenso moderne Erkennungs- und Reaktionsfähigkeiten.

Stoppen Sie Zeus Trojaner-Bedrohungen mit SentinelOne

Das Auffinden und Stoppen von Zeus-Varianten erfordert die Überwachung von Kernel-Prozessaktionen und Speicherverbrauchsmustern unabhängig von Code-Obfuskation. Die Behavioral AI Engine von SentinelOne bietet diese Fähigkeit, indem sie das Verhalten von Prozessen und Dateien überwacht und Zeus anhand seiner Aktionen statt anhand von Codesignaturen erkennt. Die Plattform zeichnet forensische Details automatisch im Singularity Data Lake auf.

Die  Singularity Platform von SentinelOne bietet autonome Reaktionsfunktionen, die Bedrohungen erkennen und stoppen, bevor es zu erheblichen Zugangsdaten-Diebstählen kommt. Mehrere KI-gestützte Erkennungs-Engines arbeiten zusammen, um Schutz in Maschinengeschwindigkeit gegen Laufzeitangriffe zu bieten, einschließlich Verhaltensanalyse, die verdächtige Prozessaktivitätsmuster identifiziert.

  • Verhaltensbasierte Bedrohungserkennung: Die Static AI Engine von SentinelOne ist auf über eine halbe Milliarde Malware-Samples trainiert und prüft Dateistrukturen auf bösartige Merkmale, während die Behavioral AI Engine bösartige Absichten und Verhaltensweisen in Echtzeit ohne menschliches Eingreifen bewertet.
  • Autonome Reaktion und Rollback: Die Singularity Platform von SentinelOne remediert Endpunkte in Maschinengeschwindigkeit ohne menschliches Eingreifen. Ransomware Rollback ermöglicht es Organisationen, Daten auf einen Zustand vor dem Angriff zurückzusetzen.
  • Storyline-Forensikuntersuchung: Die patentierte  Storyline-Technologie von SentinelOne überwacht, verfolgt und kontextualisiert Ereignisdaten automatisch in Ihrer gesamten Unternehmensumgebung, um Angriffe in Echtzeit zu rekonstruieren und zusammenhängende Ereignisse ohne manuelle Analyse zu korrelieren.
  • Purple AI-beschleunigte Untersuchungen:  Purple AI nutzt natürliche Sprache zur Beschleunigung von Bedrohungsuntersuchungen, bietet KI-gestützte Analysen und liefert umsetzbare Erkenntnisse. Es beschleunigt SecOps mit automatischen Zusammenfassungen und vorgeschlagenen Abfragen für schnelleres Threat Hunting.

SentinelOne stoppt Zeus-Varianten autonom mit verhaltensbasierter KI-Erkennung. Fordern Sie eine SentinelOne-Demo an, um es in Ihrer Umgebung zu erleben.

Singularity™-Plattform

Verbessern Sie Ihre Sicherheitslage mit Echtzeit-Erkennung, maschineller Reaktion und vollständiger Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

Zeus etablierte die Abfangung von Zugangsdaten auf Browser-Ebene als dominierende Technik bei modernen Banking-Bedrohungen. Setzen Sie verhaltensbasierte Erkennungssysteme ein, die bösartige Aktionen unabhängig von Codesignaturen identifizieren, da die polymorphe Verschlüsselung von Zeus traditionelle Antivirus-Lösungen aushebelt. 

Wenn Zeus Ihre Systeme kompromittiert, löst die Entfernung der Malware nur die halbe Herausforderung; vollständige Bereinigung erfordert einen sofortigen Reset aller Zugangsdaten für alle genutzten Anwendungen. Besiegen Sie von Zeus abgeleitete Bedrohungen durch Defense-in-Depth mit verhaltensbasierter KI, Zero Trust Architecture und identitätszentrierter Incident Response.

Zeus Malware FAQs

Zeus Trojaner, auch bekannt als Zbot, ist ein Banking-Trojaner, der Finanzzugangsdaten durch Man-in-the-Browser-Angriffe stiehlt. Zeus fängt Daten ab, bevor eine Verschlüsselung erfolgt, indem er Code in Ihren Browser injiziert und Anmeldedaten beim Eintippen abgreift. Die Malware tauchte 2007 auf und etablierte die grundlegende Architektur, die moderne Banking-Trojaner noch heute nutzen. Zeus war Vorreiter bei Form Grabbing, Web-Injection und Keylogging-Techniken, die weiterhin Standard bei Finanz-Malware sind.

Hacker setzen Zeus über Phishing-Kampagnen und Exploit-Kits ein, die Ihre Endpunkte kompromittieren. Nach einer Infektion erfasst Zeus Bankzugangsdaten durch Form-Grabbing und Keylogging und exfiltriert die gestohlenen Daten an C2-Server. Angreifer nutzen diese Zugangsdaten für direkten Finanzbetrug und setzen häufig zusätzliche Schadsoftware wie Ransomware ein, um den kriminellen Ertrag aus kompromittierten Systemen zu maximieren.

Zeus zielt gezielt auf Finanzzugangsdaten ab, indem er Daten von Banking-Webseiten abfängt, bevor eine Verschlüsselung erfolgt. Die Malware verwaltet Konfigurationsdateien mit den anvisierten Banken und nutzt Web-Injection, um Banking-Seiten in Echtzeit zu verändern und Anmeldedaten sowie Transaktionsdetails abzugreifen. Dieser spezialisierte Fokus auf Finanzdiebstahl unterscheidet Zeus von allgemeinen Trojanern.

Zeus legte das architektonische Fundament, dem moderne Banking-Trojaner noch immer folgen: Man-in-the-Browser-Angriffe, Web-Injection und modulare Architektur. Aktuelle Bedrohungen wie Dridex und Trickbot sind aus dem geleakten Quellcode von Zeus hervorgegangen, haben jedoch Werkzeuge für laterale Bewegung und Funktionen zur Auslieferung von Ransomware hinzugefügt. Das ursprüngliche Zeus ist weitgehend inaktiv, aber seine Ableger dominieren die aktuelle Aktivität von Banking-Trojanern.

MFA bietet einen gewissen Schutz, stoppt Zeus jedoch nicht vollständig, da die Malware Man-in-the-Browser-Techniken einsetzt, die sitzungsbasierte Authentifizierung umgehen können. Zeus kann authentifizierte Sitzungen nach erfolgreichem MFA-Login übernehmen, indem Sitzungs-Cookies zusammen mit Anmeldedaten gestohlen werden. 

Setzen Sie MFA als eine Ebene innerhalb der Defense-in-Depth zusammen mit verhaltensbasierter Erkennung und Zero-Trust-Architektur ein.

GameOver Zeus beseitigte den Single Point of Failure des traditionellen Zeus, indem zentrale Command-and-Control-Server durch eine Peer-to-Peer-Architektur ersetzt wurden. Infizierte Systeme kommunizieren direkt miteinander, was behördliche Abschaltungen erheblich erschwert. 

CISA bestätigt, dass dieses P2P-Design koordinierte internationale Maßnahmen zur Störung erforderte. GameOver Zeus kombinierte zudem den Diebstahl von Zugangsdaten mit der Verbreitung von CryptoLocker-Ransomware, um die kriminellen Erträge jeder Infektion zu maximieren.

Zeus Version 1.4 führte polymorphe Verschlüsselung ein, die für jede Infektion einzigartige Codesignaturen erzeugt und signaturbasierte Erkennung umgeht. Die Malware hakt außerdem die NtQueryDirectoryFile API ein, um ihre Dateien vor Sicherheitsscans zu verbergen, und arbeitet hauptsächlich im Speicher, um eine Erkennung auf Dateiebene zu vermeiden. 

Verhaltensbasierte Erkennung, die Prozessaktionen und Speicheraktivitäten überwacht, ist effektiver, da sie Zeus anhand seines Verhaltens und nicht anhand seines Codes identifiziert.

Ursprüngliche Zeus-Varianten sind weitgehend inaktiv, aber Sie sind weiterhin durch Zeus-basierte Banking-Trojaner bedroht, die dessen Architektur übernommen haben. Dridex, Trickbot und Zusy (TinyBanker) greifen weiterhin Finanzzugangsdaten mit den von Zeus eingeführten Man-in-the-Browser-Techniken an. 

Diese modernen Varianten verfügen zusätzlich über Ransomware-Verteilung und laterale Bewegungsmöglichkeiten. Die von Zeus etablierten grundlegenden Angriffsmethoden sind weiterhin Standard bei Banking-Trojanern.

Isolieren Sie infizierte Systeme sofort, erfassen Sie Speicherauszüge für die forensische Analyse und setzen Sie dann EDR-Tools mit Kernel-Sichtbarkeit ein, um die API-Hooks von Zeus zu umgehen. Entfernen Sie Malware-Artefakte und Persistenzmechanismen, wobei eine Systemwiederherstellung aus sauberen Backups oft zuverlässiger ist. 

Setzen Sie alle Zugangsdaten zurück und machen Sie alle Sitzungen für Konten ungültig, auf die von infizierten Geräten aus zugegriffen wurde, da der Diebstahl von Zugangsdaten eine fortlaufende Kompromittierung nach der Entfernung der Malware ermöglicht.

Erfahren Sie mehr über Cybersecurity

Was ist Insecure Direct Object Reference (IDOR)?Cybersecurity

Was ist Insecure Direct Object Reference (IDOR)?

Insecure Direct Object Reference (IDOR) ist eine Zugriffskontrollschwäche, bei der fehlende Eigentumsprüfungen es Angreifern ermöglichen, durch Änderung eines URL-Parameters auf die Daten beliebiger Benutzer zuzugreifen. Erfahren Sie, wie Sie sie erkennen und verhindern können.

Mehr lesen
IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best PracticesCybersecurity

IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices

IT- und OT-Sicherheit betreffen zwei Bereiche mit unterschiedlichen Risikoprofilen, Compliance-Anforderungen und betrieblichen Prioritäten. Erfahren Sie zentrale Unterschiede und Best Practices.

Mehr lesen
Was sind Air Gapped Backups? Beispiele & Best PracticesCybersecurity

Was sind Air Gapped Backups? Beispiele & Best Practices

Air Gapped Backups halten mindestens eine Wiederherstellungskopie außerhalb der Reichweite von Angreifern. Erfahren Sie, wie sie funktionieren, welche Typen es gibt, Beispiele und Best Practices für die Ransomware-Wiederherstellung.

Mehr lesen
Was ist OT-Sicherheit? Definition, Herausforderungen & Best PracticesCybersecurity

Was ist OT-Sicherheit? Definition, Herausforderungen & Best Practices

OT-Sicherheit schützt industrielle Systeme, die physische Prozesse in kritischen Infrastrukturen steuern. Behandelt Purdue-Modell-Segmentierung, IT/OT-Konvergenz und NIST-Richtlinien.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch