Skip to content

Zeus-Sourcecode im Internet aufgetaucht

Der Sourcecode des Trojaner-Baukastens Zeus ist an mehreren Stellen im Internet aufgetaucht. Erste Berichte, dass der Sourcecode, der bisher verkauft wurde, auch ohne Bezahlung verteilt wurde, gab es bereits im März. Damals kannte aber zumindest offiziell niemand das Passwort des RAR-Archivs mit dem Sourcecode. Wie CSIS berichtet, wurde nun an mehreren Stellen ein ZIP-Archiv mit den vollständigen Sourcecode veröffentlicht, und Heise Security liegt ein RAR-Archiv mit dem Sourcecode vor.

Suchet, so werdet ihr finden...

... fragt sich nur, was. Zur Zeit findet man bei Google sehr schnell Links, die zu Hinweisen auf ein RAR-Archiv mit dem Sourcecode von Zeus 2.0.8.9 führen. Das Archiv wurde u.a. bei allen bekannten Filehostern abgelegt, dass Passwort in mehreren Foren veröffentlicht. Es wäre das erste Mal, dass die Cyberkriminellen einen begehrten Suchbegriff nicht für ihre Zwecke missbrauchen. Es ist also sehr bald mit per Suchmaschinenoptimierung unter die führenden Ergebnisse geschmuggelten Seiten zu rechnen, auf denen Sie auf jedem Fall Schadsoftware finden. Allerdings in Form einer Drive-by-Infektion und nicht als Link zum Zeus-Archiv. Und selbst wenn Sie ein Zeus-Archiv finden, muss es sich nicht zwingend (nur) um ein solches handeln. Cyberkriminelle könnten durchaus eigene Versionen des Archivs verbreiten, die dann beim Entpacken u.U. Schadcode einschleusen.

Auspackzeremonie

Das mir vorliegende Archiv scheint vollständig zu sein, für eine ausführliche Analyse war aber noch keine Zeit. Auffällig ist, dass diese Version im Gegensatz zu den bei CSIS und Heise Security gezeigten bereits kompilierten Code enthält. Auch weisen alle Verzeichnisse als Änderungsdatum den 10. Mai auf, kompiliert wurden die Programme laut Änderungsdatum am 14. April. Die letzte Änderung an einer Datei war am 20. April (config.ini).

Das entpackte RAR-Archiv

War da jemand nachlässig und hat ein Archiv seines "Arbeitsverzeichnisses" erstellt, ohne vorher aufzuräumen? Soll damit den Skriptkiddies entgegen gekommen werden, die den Code nicht selbst kompilieren können? Oder enthält der Code zusätzlichen Schadcode?

Der Virenscanner warnt

In einem VirusTotal-Test erkennen nur 22 von 41 Virenscannern die enthaltene Datei output/client32.bin, zum Teil als Zbot-Variante (was nur ein anderer Name für Zeus ist), zum Teil mit generischen Mustern. Zum Vergleich: Laut VirSCAN.org erkennen 15 von 37 Scannern einen Schädling, laut Jottis Malwarescanner 12 von 20 Scannern.

Die Datei output/builder/zsb.exe mit dem Builder erkennen laut Virustotal 21 von 42 Virenscannern, zum Teil als Zbot-Variante, zum Teil mit generischen Mustern. Zum Vergleich: Laut VirSCAN.org erkennen 16 von 37 Scannern Schadsoftware, laut Jottis Malwarescanner 11 von 20 Scannern.

Die Datei output/server/zsbcs.exe mit dem BackConnect-Server erkennen laut Virustotal 19 von 42 Virenscanner als Schadsoftware, zum größten Teil generisch, lediglich Windows und NOD32 erkennen eine Zeus-Variante. Zum Vergleich: Laut VirSCAN.org erkennen 12 von 37 Scannern darin einen Schädling, wieder zum größten Teil generisch. Wieder erkennen nur Windows und NOD32 eine Zeus-Variante. Und laut Jottis Malwarescanner erkennen 7 von 20 Scannern darin Schadsoftware, wiederum nur NOD32 eine Zeus-Variante (Microsofts Scanner ist nicht vertreten).

Zumindest im Fall von output/server/zsbcs.exe stellt sich doch die Frage, ob dass so richtig ist. Immerhin ist das ja eigentlich die BackConnect-Server-Komponente, nicht der Bot. Sollte da also schon jemand ein Archiv veröffentlicht haben, dass quasi einen trojanisierten Trojaner enthält? Oder verwendet der BackConnect-Server zur Kommunikation Bot-Code und wird deshalb von den Scannern als Bot erkannt? Oder gibt es einen ganz anderen Grund? Da mich die Binaries sowieso nicht interessieren, werde ich nicht weiter nachforschen und einfach nur die Fakten stehen lassen.

RTFM

Werfen wir einen Blick in die Anleitung. Der enthaltene README.txt kommt mir sprichwörtlich spanisch vor, dürfte aber in russisch sein. Das Manual gibt es zum Glück auch auf englisch. Laut Beschreibung des Bots ist der Sourcecode für Visual C++ Version 9.0 geschrieben worden, unterstützt werden alle Windows-Versionen ab XP. Zum Installationsprozess erfährt man, dass der Bot vor allem auf Windows Vista und 7 ausgerichtet ist und sich von der aktivierten UAC nicht stören lässt:

"At the moment, the bot is primarily designed to work under Vista/Seven, with enabled UAC, and without the use of local exploits."

Installiert wird der Bot für den jeweils aktiven Benutzer, auch wenn der nur Gast-Rechte besitzt. Erwischt es einen Benutzer mit den LocalSystem-Rechten, versucht der Bot, alle Benutzerkonten zu infizieren.

Die Schadfunktionen

Der Bot enthält laut Anleitung die folgenden Schadfunktionen:

  1. Abfangen von HTTP/HTTPS-Requests der Bibliotheken wininet.dll (Internet Explorer etc.) und nspr4.dll (Mozilla Firefox)
    • Manipulation der Seiteninhalte
    • Transparente Redirects
    • Ausspähen von Daten aus der Seite
    • Temporäres Blockieren der Manipulationen und Redirects
    • Temporäres Blockieren des Zugriffs auf einen bestimmten URL
    • Blockieren des Loggens für einen bestimmten URL
    • Loggen aller GET-Requests für einen bestimmten URL
    • Screenshot des Bereichs um den Mauszeiger beim Klick auf einen Button
    • Ausspähen von Session-Cookies
  2. Ausspähen von Benutzerdaten:
    • Ausspähen der Login-Daten der FTP-Clients FlashFXP, CuteFtp, Total Commander, WsFTP, FileZilla, FAR Manager, WinSCP, FTP Commander, CoreFTP und SmartFTP
    • Ausspähen der Cookies des Flash Players
    • Ausspähen der Cookies von wininet.dll und Firefox
    • Importieren der Zertifikate aus Windows Zertifikat-Speicher sowie die Überwachung des Hinzufügens von Zertifikaten
    • Überwachen von Tastendrücken (Keylogger)
  3. Sniffen von TCP-Traffic über den Windows Socket
    • Abfangen von FTP-Logins auf jedem Port
    • Abfangen von POP3-Logins auf jedem Port
  4. Sonstiges
    • Ausführen von über den Command&Control-Server erstellten Skripts (Backdoor)
    • Aufteilen eines Botnets in Sub-Botnets

Der Server ist in der Lage, sich über "Backconnection" mit jedem beliebigen Dienst auf dem infizierten Rechner (RDP, Socks, FTP, ...) zu verbinden, um Rechner hinter einem NAT-Router oder einer Verbindungen verbietenden Firewall zu erreichen.

Was auffällt, ist das Fehlen der Mobil-Variante. Laut Anleitung handelt es sich um Version 2.1.0.0 vom 20.03.2011, laut Archiv-Name und Angaben in einigen Dateien um Version 2.0.8.9. Die mobile Variante gib es als Schädling zumindest seit September 2010 "in the wild". Es gibt also anscheinend mehrere aktuelle Versionen des Bot-Baukastens, oder die mobile Variante ist eine zusätzlich zu erwerbende Erweiterung.

Ob die Veröffentlichung des Sourcecodes wie teilweise befürchtet zu einer Schädlings-Schwemme führt, wird sich zeigen. Besonders Skriptkiddie-freundlich ist der Sourcecode jedenfalls nicht, und jeden "Out of the box"-Bot sollten alle Virenscanner erkennen, Zeus ist für die ja ein alter Bekannter. Gefährlicher dürften da schon tiefgreifende Änderungen sein, durch die der Bot nicht mehr erkannt wird. Aber wer dazu in der Lage ist, kann sich auch selbst einen Bot schreiben, der braucht den Zeus-Sourcecode nicht.

Update 14.7.2011:
Inzwischen gibt es auch eine Zeus-Variante für Android. Mehr darüber erfahren Sie in der nächsten Folge!

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Zeus - Die Entwicklung eines Dauerbrenners
Zeus-Sourcecode im Internet aufgetaucht
Zeus wird mobil - jetzt auch auf Android
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Mehrere Exploit-Kits im Internet aufgetaucht

Vorschau anzeigen
Nach dem (und teilweise parallel zum) Zeus-Sourcecode sind eine ganze Reihe von Exploit-Kits im Internet aufgetaucht. Und zwar als vollständige Archive und nicht nur im Rahmen von Drive-by-Infektionen, wie es eigentlich üblich ist.

Dipl.-Inform. Carsten Eilers am : Heute im Angebot: Links statt Text

Vorschau anzeigen
Liebe Leser, leider gibt es heute keinen "Standpunkt"-Text zu mehr oder weniger aktuellen Ereignissen. Ich hatte leider keine Zeit zum Schreiben eines ausführlichen Texts. Aber dafür gibt es einige Links zu Texten, die mir in der vergang

Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!

Vorschau anzeigen
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Sma

Dipl.-Inform. Carsten Eilers am : Carberp-Sourcecode und bösartige Opera-Updates veröffentlicht

Vorschau anzeigen
Der Sourcecode des Onlinebanking-Trojaners Carberp wurde veröffentlicht, und Opera verbreitete kurze Zeit Schadsoftware über die Auto-Update-Funktion. Beides muss ich natürlich unbedingt kommentieren! Carberp-Sourcecode ver&oum

Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe

Vorschau anzeigen
Es gibt weitere Informationen zur 0-Day-Schwachstelle in Microsoft Graphics, die über präparierte Word-Dateien ausgenutzt wird. Und die sind sehr interessant, denn es könnte sich ein neuer Trend für 0-Day-Angriffe herauskristal