Dipl.-Inform. Carsten Eilers

… fragt sich nur, was. Zur Zeit findet man bei Google sehr schnell
Links, die zu Hinweisen auf ein RAR-Archiv mit dem Sourcecode
von Zeus 2.0.8.9 führen. Das Archiv wurde u.a. bei allen bekannten
Filehostern abgelegt, dass Passwort in mehreren Foren veröffentlicht. Es
wäre das erste Mal, dass die Cyberkriminellen einen begehrten Suchbegriff
nicht für ihre Zwecke missbrauchen. Es ist also sehr bald mit per
Suchmaschinenoptimierung unter die führenden Ergebnisse geschmuggelten
Seiten zu rechnen, auf denen Sie auf jedem Fall Schadsoftware finden.
Allerdings in Form einer
Drive-by-Infektion
und nicht als Link zum Zeus-Archiv. Und selbst wenn Sie ein Zeus-Archiv
finden, muss es sich nicht zwingend (nur) um ein solches handeln.
Cyberkriminelle könnten durchaus eigene Versionen des Archivs verbreiten,
die dann beim Entpacken u.U. Schadcode einschleusen.

Auspackzeremonie

Das mir vorliegende Archiv scheint vollständig zu sein, für eine
ausführliche Analyse war aber noch keine Zeit. Auffällig ist,
dass diese Version im Gegensatz zu den bei CSIS und Heise Security
gezeigten bereits kompilierten Code enthält. Auch weisen alle
Verzeichnisse als Änderungsdatum den 10. Mai auf, kompiliert wurden
die Programme laut Änderungsdatum am 14. April. Die letzte
Änderung an einer Datei war am 20. April (config.ini).

War da jemand nachlässig und hat ein Archiv seines
“Arbeitsverzeichnisses” erstellt, ohne vorher aufzuräumen? Soll damit
den Skriptkiddies entgegen gekommen werden, die den Code nicht selbst
kompilieren können? Oder enthält der Code zusätzlichen
Schadcode?

Der Virenscanner warnt

In einem
VirusTotal-Test
erkennen nur 22 von 41 Virenscannern die enthaltene Datei
output/client32.bin, zum Teil als Zbot-Variante (was nur ein
anderer Name für Zeus ist), zum Teil mit generischen Mustern. Zum
Vergleich: Laut
VirSCAN.org
erkennen 15 von 37 Scannern einen Schädling, laut
Jottis Malwarescanner
12 von 20 Scannern.

Die Datei output/builder/zsb.exe mit dem Builder erkennen
laut
Virustotal
21 von 42 Virenscannern, zum Teil als Zbot-Variante,
zum Teil mit generischen Mustern. Zum Vergleich: Laut
VirSCAN.org
erkennen 16 von 37 Scannern Schadsoftware, laut
Jottis Malwarescanner
11 von 20 Scannern.

Die Datei output/server/zsbcs.exe mit dem BackConnect-Server
erkennen laut
Virustotal
19 von 42 Virenscanner als Schadsoftware, zum größten Teil
generisch, lediglich Windows und NOD32 erkennen eine Zeus-Variante.
Zum Vergleich: Laut
VirSCAN.org
erkennen 12 von 37 Scannern darin einen Schädling, wieder zum
größten Teil generisch. Wieder erkennen nur Windows und
NOD32 eine Zeus-Variante. Und laut
Jottis Malwarescanner
erkennen 7 von 20 Scannern darin Schadsoftware, wiederum nur NOD32 eine
Zeus-Variante (Microsofts Scanner ist nicht vertreten).

Zumindest im Fall von output/server/zsbcs.exe stellt sich doch
die Frage, ob dass so richtig ist. Immerhin ist das ja eigentlich die
BackConnect-Server-Komponente, nicht der Bot. Sollte da also schon jemand
ein Archiv veröffentlicht haben, dass quasi einen trojanisierten Trojaner
enthält? Oder verwendet der BackConnect-Server zur Kommunikation Bot-Code
und wird deshalb von den Scannern als Bot erkannt? Oder gibt es einen ganz
anderen Grund? Da mich die Binaries sowieso nicht interessieren, werde ich
nicht weiter nachforschen und einfach nur die Fakten stehen lassen.

RTFM

Werfen wir einen Blick in die Anleitung. Der enthaltene
README.txt kommt mir sprichwörtlich spanisch vor,
dürfte aber in russisch sein. Das Manual gibt es zum Glück auch
auf englisch. Laut Beschreibung des Bots ist der Sourcecode für Visual
C++ Version 9.0 geschrieben worden, unterstützt werden alle
Windows-Versionen ab XP. Zum Installationsprozess erfährt man, dass
der Bot vor allem auf Windows Vista und 7 ausgerichtet ist und sich von der
aktivierten UAC nicht stören lässt:

“At the moment, the bot is primarily designed to work
under Vista/Seven, with enabled UAC, and without the use of local
exploits.”

Installiert wird der Bot für den jeweils aktiven Benutzer, auch wenn der
nur Gast-Rechte besitzt. Erwischt es einen Benutzer mit den
LocalSystem-Rechten, versucht der Bot, alle Benutzerkonten zu infizieren.

Die Schadfunktionen

Der Bot enthält laut Anleitung die folgenden Schadfunktionen:

1. Abfangen von HTTP/HTTPS-Requests der Bibliotheken
   wininet.dll (Internet Explorer etc.) und
   nspr4.dll (Mozilla Firefox)
   • Manipulation der Seiteninhalte
   • Transparente Redirects
   • Ausspähen von Daten aus der Seite
   • Temporäres Blockieren der Manipulationen und Redirects
   • Temporäres Blockieren des Zugriffs auf einen bestimmten URL
   • Blockieren des Loggens für einen bestimmten URL
   • Loggen aller GET-Requests für einen bestimmten URL
   • Screenshot des Bereichs um den Mauszeiger beim Klick auf einen Button
   • Ausspähen von Session-Cookies
2. Ausspähen von Benutzerdaten:
   • Ausspähen der Login-Daten der FTP-Clients FlashFXP, CuteFtp,
     Total Commander, WsFTP, FileZilla, FAR Manager, WinSCP, FTP Commander,
     CoreFTP und SmartFTP

   • Ausspähen der Cookies des Flash Players
   • Ausspähen der Cookies von wininet.dll und Firefox
   • Importieren der Zertifikate aus Windows Zertifikat-Speicher sowie die
     Überwachung des Hinzufügens von Zertifikaten

   • Überwachen von Tastendrücken (Keylogger)
3. Sniffen von TCP-Traffic über den Windows Socket
   • Abfangen von FTP-Logins auf jedem Port
   • Abfangen von POP3-Logins auf jedem Port
4. Sonstiges
   • Ausführen von über den Command&Control-Server erstellten
     Skripts (Backdoor)

   • Aufteilen eines Botnets in Sub-Botnets

Der Server ist in der Lage, sich über “Backconnection” mit jedem
beliebigen Dienst auf dem infizierten Rechner (RDP, Socks, FTP, …) zu
verbinden, um Rechner hinter einem NAT-Router oder einer Verbindungen
verbietenden Firewall zu erreichen.

Was auffällt, ist das Fehlen der
Mobil-Variante.
Laut Anleitung handelt es sich um Version 2.1.0.0 vom 20.03.2011, laut
Archiv-Name und Angaben in einigen Dateien um Version 2.0.8.9. Die mobile
Variante gib es als Schädling zumindest
seit September 2010
“in the wild”. Es gibt also anscheinend mehrere aktuelle Versionen des
Bot-Baukastens, oder die mobile Variante ist eine zusätzlich zu erwerbende
Erweiterung.

Ob die Veröffentlichung des Sourcecodes wie teilweise befürchtet zu einer
Schädlings-Schwemme führt, wird sich zeigen. Besonders
Skriptkiddie-freundlich ist der Sourcecode jedenfalls nicht, und jeden “Out
of the box”-Bot sollten alle Virenscanner erkennen, Zeus ist für die ja ein
alter Bekannter. Gefährlicher dürften da schon tiefgreifende Änderungen
sein, durch die der Bot nicht mehr erkannt wird. Aber wer dazu in der Lage
ist, kann sich auch selbst einen Bot schreiben, der braucht den
Zeus-Sourcecode nicht.

Update 14.7.2011:

Inzwischen gibt es auch eine Zeus-Variante für Android. Mehr darüber erfahren Sie in der
nächsten Folge!

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware – Der Spion in Ihrem Computer

Viren – Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer – Schadsoftware, die sich selbst verbreitet

Trojaner – Der Feind im harmlosen Programm

Zeus

Zeus – Trojaner, Botnet, Schädlingsbaukasten, …

Zeus – Die Entwicklung eines Dauerbrenners

Zeus-Sourcecode im Internet aufgetaucht

Zeus wird mobil – jetzt auch auf Android

Exploit-Kits – Die Grundlage für Drive-by-Infektionen

Rootkits – Schadsoftware im System

Remote Administration Toolkits – Fernwartung in der Grauzone

Botnets – Zombie-Plagen im Internet

Schadsoftware – Infektionen verhindern

Schadsoftware im Überblick