Zeus-Sourcecode im Internet aufgetaucht
Der Sourcecode des Trojaner-Baukastens Zeus ist an mehreren Stellen im Internet aufgetaucht. Erste Berichte, dass der Sourcecode, der bisher verkauft wurde, auch ohne Bezahlung verteilt wurde, gab es bereits im März. Damals kannte aber zumindest offiziell niemand das Passwort des RAR-Archivs mit dem Sourcecode. Wie CSIS berichtet, wurde nun an mehreren Stellen ein ZIP-Archiv mit den vollständigen Sourcecode veröffentlicht, und Heise Security liegt ein RAR-Archiv mit dem Sourcecode vor.
Suchet, so werdet ihr finden...
... fragt sich nur, was. Zur Zeit findet man bei Google sehr schnell Links, die zu Hinweisen auf ein RAR-Archiv mit dem Sourcecode von Zeus 2.0.8.9 führen. Das Archiv wurde u.a. bei allen bekannten Filehostern abgelegt, dass Passwort in mehreren Foren veröffentlicht. Es wäre das erste Mal, dass die Cyberkriminellen einen begehrten Suchbegriff nicht für ihre Zwecke missbrauchen. Es ist also sehr bald mit per Suchmaschinenoptimierung unter die führenden Ergebnisse geschmuggelten Seiten zu rechnen, auf denen Sie auf jedem Fall Schadsoftware finden. Allerdings in Form einer Drive-by-Infektion und nicht als Link zum Zeus-Archiv. Und selbst wenn Sie ein Zeus-Archiv finden, muss es sich nicht zwingend (nur) um ein solches handeln. Cyberkriminelle könnten durchaus eigene Versionen des Archivs verbreiten, die dann beim Entpacken u.U. Schadcode einschleusen.
Auspackzeremonie
Das mir vorliegende Archiv scheint vollständig zu sein, für eine
ausführliche Analyse war aber noch keine Zeit. Auffällig ist,
dass diese Version im Gegensatz zu den bei CSIS und Heise Security
gezeigten bereits kompilierten Code enthält. Auch weisen alle
Verzeichnisse als Änderungsdatum den 10. Mai auf, kompiliert wurden
die Programme laut Änderungsdatum am 14. April. Die letzte
Änderung an einer Datei war am 20. April (config.ini
).
War da jemand nachlässig und hat ein Archiv seines "Arbeitsverzeichnisses" erstellt, ohne vorher aufzuräumen? Soll damit den Skriptkiddies entgegen gekommen werden, die den Code nicht selbst kompilieren können? Oder enthält der Code zusätzlichen Schadcode?
Der Virenscanner warnt
In einem
VirusTotal-Test
erkennen nur 22 von 41 Virenscannern die enthaltene Datei
output/client32.bin
, zum Teil als Zbot-Variante (was nur ein
anderer Name für Zeus ist), zum Teil mit generischen Mustern. Zum
Vergleich: Laut
VirSCAN.org
erkennen 15 von 37 Scannern einen Schädling, laut
Jottis Malwarescanner
12 von 20 Scannern.
Die Datei output/builder/zsb.exe
mit dem Builder erkennen
laut
Virustotal
21 von 42 Virenscannern, zum Teil als Zbot-Variante,
zum Teil mit generischen Mustern. Zum Vergleich: Laut
VirSCAN.org
erkennen 16 von 37 Scannern Schadsoftware, laut
Jottis Malwarescanner
11 von 20 Scannern.
Die Datei output/server/zsbcs.exe
mit dem BackConnect-Server
erkennen laut
Virustotal
19 von 42 Virenscanner als Schadsoftware, zum größten Teil
generisch, lediglich Windows und NOD32 erkennen eine Zeus-Variante.
Zum Vergleich: Laut
VirSCAN.org
erkennen 12 von 37 Scannern darin einen Schädling, wieder zum
größten Teil generisch. Wieder erkennen nur Windows und
NOD32 eine Zeus-Variante. Und laut
Jottis Malwarescanner
erkennen 7 von 20 Scannern darin Schadsoftware, wiederum nur NOD32 eine
Zeus-Variante (Microsofts Scanner ist nicht vertreten).
Zumindest im Fall von output/server/zsbcs.exe
stellt sich doch
die Frage, ob dass so richtig ist. Immerhin ist das ja eigentlich die
BackConnect-Server-Komponente, nicht der Bot. Sollte da also schon jemand
ein Archiv veröffentlicht haben, dass quasi einen trojanisierten Trojaner
enthält? Oder verwendet der BackConnect-Server zur Kommunikation Bot-Code
und wird deshalb von den Scannern als Bot erkannt? Oder gibt es einen ganz
anderen Grund? Da mich die Binaries sowieso nicht interessieren, werde ich
nicht weiter nachforschen und einfach nur die Fakten stehen lassen.
RTFM
Werfen wir einen Blick in die Anleitung. Der enthaltene
README.txt
kommt mir sprichwörtlich spanisch vor,
dürfte aber in russisch sein. Das Manual gibt es zum Glück auch
auf englisch. Laut Beschreibung des Bots ist der Sourcecode für Visual
C++ Version 9.0 geschrieben worden, unterstützt werden alle
Windows-Versionen ab XP. Zum Installationsprozess erfährt man, dass
der Bot vor allem auf Windows Vista und 7 ausgerichtet ist und sich von der
aktivierten UAC nicht stören lässt:
"At the moment, the bot is primarily designed to work under Vista/Seven, with enabled UAC, and without the use of local exploits."
Installiert wird der Bot für den jeweils aktiven Benutzer, auch wenn der nur Gast-Rechte besitzt. Erwischt es einen Benutzer mit den LocalSystem-Rechten, versucht der Bot, alle Benutzerkonten zu infizieren.
Die Schadfunktionen
Der Bot enthält laut Anleitung die folgenden Schadfunktionen:
- Abfangen von HTTP/HTTPS-Requests der Bibliotheken
wininet.dll
(Internet Explorer etc.) undnspr4.dll
(Mozilla Firefox)- Manipulation der Seiteninhalte
- Transparente Redirects
- Ausspähen von Daten aus der Seite
- Temporäres Blockieren der Manipulationen und Redirects
- Temporäres Blockieren des Zugriffs auf einen bestimmten URL
- Blockieren des Loggens für einen bestimmten URL
- Loggen aller GET-Requests für einen bestimmten URL
- Screenshot des Bereichs um den Mauszeiger beim Klick auf einen Button
- Ausspähen von Session-Cookies
- Ausspähen von Benutzerdaten:
- Ausspähen der Login-Daten der FTP-Clients FlashFXP, CuteFtp, Total Commander, WsFTP, FileZilla, FAR Manager, WinSCP, FTP Commander, CoreFTP und SmartFTP
- Ausspähen der Cookies des Flash Players
- Ausspähen der Cookies von
wininet.dll
und Firefox - Importieren der Zertifikate aus Windows Zertifikat-Speicher sowie die Überwachung des Hinzufügens von Zertifikaten
- Überwachen von Tastendrücken (Keylogger)
- Sniffen von TCP-Traffic über den Windows Socket
- Abfangen von FTP-Logins auf jedem Port
- Abfangen von POP3-Logins auf jedem Port
- Sonstiges
- Ausführen von über den Command&Control-Server erstellten Skripts (Backdoor)
- Aufteilen eines Botnets in Sub-Botnets
Der Server ist in der Lage, sich über "Backconnection" mit jedem beliebigen Dienst auf dem infizierten Rechner (RDP, Socks, FTP, ...) zu verbinden, um Rechner hinter einem NAT-Router oder einer Verbindungen verbietenden Firewall zu erreichen.
Was auffällt, ist das Fehlen der Mobil-Variante. Laut Anleitung handelt es sich um Version 2.1.0.0 vom 20.03.2011, laut Archiv-Name und Angaben in einigen Dateien um Version 2.0.8.9. Die mobile Variante gib es als Schädling zumindest seit September 2010 "in the wild". Es gibt also anscheinend mehrere aktuelle Versionen des Bot-Baukastens, oder die mobile Variante ist eine zusätzlich zu erwerbende Erweiterung.
Ob die Veröffentlichung des Sourcecodes wie teilweise befürchtet zu einer Schädlings-Schwemme führt, wird sich zeigen. Besonders Skriptkiddie-freundlich ist der Sourcecode jedenfalls nicht, und jeden "Out of the box"-Bot sollten alle Virenscanner erkennen, Zeus ist für die ja ein alter Bekannter. Gefährlicher dürften da schon tiefgreifende Änderungen sein, durch die der Bot nicht mehr erkannt wird. Aber wer dazu in der Lage ist, kann sich auch selbst einen Bot schreiben, der braucht den Zeus-Sourcecode nicht.
Update 14.7.2011:
Inzwischen gibt es auch eine Zeus-Variante für Android. Mehr darüber erfahren Sie in der
nächsten Folge!
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus
-
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Zeus - Die Entwicklung eines Dauerbrenners
- Zeus-Sourcecode im Internet aufgetaucht
- Zeus wird mobil - jetzt auch auf Android
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Mehrere Exploit-Kits im Internet aufgetaucht
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Heute im Angebot: Links statt Text
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Carberp-Sourcecode und bösartige Opera-Updates veröffentlicht
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Jede Menge Wiederholungen: WM-Titel, gefälschte SSL-Zertifikate, Zeus-Botnets, ...
Vorschau anzeigen