Zeus lebt

Vor einiger Zeit wurde bekannt, dass die Weiterentwicklung von ZeuS auf den Programmierer eines anderen trojanischen Konkurrenz-Programms, SpyEye, übertragen wurde. Nun wartet alles darauf, wann das neue „Monster“ in Erscheinung tritt, das durch die Fusion dieser beiden Spionage-Programme entstanden ist. Höchstwahrscheinlich wird der Entwickler von SpyEye das Wertvollste aus ZeuS herausziehen und es in SpyEye umsetzen. Einige Experten haben bereits ein Stück Code in SpyEye-Samples gefunden die ursprünglich zu ZeuS gehörten.

 новое окно
Teil des Codes von SpyEye, der mit dem Code von ZeuS identisch ist

Wir haben nicht darauf gewartet, dass nach der Fusion neue Modifikationen von ZeuS auftauchen werden. Sicherlich erhalten wir immer noch einen regelmäßigen Strom von ZeuS-Samples, doch dabei handelt es sich praktisch ausnahmslos um schon lange bekannte Versionen des Schadprogramms. Die neuen Varianten entstehen meist durch einen Umbau mit Hilfe von so genannten ZeuS-Buildern, der mit einem einzigen Knopfdruck in diesen Programmen vollzogen wird. Doch von Zeit zu Zeit stoße ich auf ungewöhnliche Samples dieses Trojaners, und aktuell besteht durchaus Grund zu der Annahme, dass ZeuS in einem gewissen Maß noch immer gepflegt und weiterentwickelt wird.

Alles begann damit, dass wir vor ein paar Monaten eine ZeuS-Variante entdeckten, die über eine neue Funktionalität verfügte: Der Schädling überprüfte, ob er in einer Testumgebung ausgeführt wird, z.B. innerhalb einer Sandbox eines Forschungslabors. Der Trojaner stoppte seine Ausführung, wenn verschiedene Anzeichen darauf hinwiesen, dass er in einer bestimmten Umgebung zu Analysezwecken gestartet wurde.

Unten ist ein Beispiel für eine solche Überprüfung dargestellt — ZeuS untersucht, ob er auf der virtuellen Maschine VMware gestartet wird, indem er für diese Maschine typische Geräte identifiziert:


1. Überprüfung, ob ZeuS auf der virtuellen Maschine VMware ausgeführt wird


2. Überprüfung, ob ZeuS auf der virtuellen Maschine VMware ausgeführt wird

Vor einigen Wochen tauchte ein anderes ZeuS-Exemplar mit einem für diese Familie seltsamen Verhalten auf der Bildfläche auf. Alle neueren ZeuS-Varianten hatten ein und denselben Algorithmus zur Entschlüsselung der Sektion innerhalb ihres Codes, die die ursprünglichen internen Konfigurationen des Trojaners enthielten (den Link, über den die Konfigurationsdatei geladen werden sollte, den Chiffrierungsschlüssel des Traffics usw.). Doch in dem neuen, ungewöhnlichen Sample findet sich eine doppelte Verschlüsselung. Zunächst werden die Daten mit dem Standard-Algorithmus dechiffriert, doch die Adresse zur Konfigurationsdatei wird dabei nicht korrekt ausgegeben. Und erst bei der zweiten Entschlüsselung erscheint der richtige Link auf die Konfigurationsdatei, in der letztlich auch auf die Adresse des Steuerungszentrums des Botnetzes verwiesen wird.

Unten ist dargestellt, wie das dann in der Realität aussieht. Nach der ersten Entschlüsselung sind in der Sektion die ursprünglichen Konfigurationen (grün markiert) zu sehen, doch der Link darunter ist falsch. Der echte Link ist in dem rot markierten Bereich versteckt, und tritt erst nach der zweiten Dechiffrierung zutage.


Entschlüsselung der Sektion mit den Ursprungsdaten

Vor einigen Tagen entdeckte ich dann eine Spielart von ZeuS, die ebenfalls überprüft, ob sie zu Analysezwecken ausgeführt wird, z.B. in einem Antiviren-Unternehmen. Die Funktionalität ist dieselbe, allerdings schon mit kleinen Veränderungen: Es wurde ein weiteres Kriterium zur Entdeckung einer neuen Test-Plattform hinzugefügt.

Diese ZeuS-Variante verfügt zudem über strukturell veränderte Code-Teile, die über ein halbes Jahr unverändert geblieben waren – und das sind Tausende und Abertausende Modifikationen des Trojaners.


Veränderungen in einem von bisher unveränderten Teilen des ZeuS-Codes

Die Veränderung eines Teils des Codes weist darauf hin, dass das Sample mit Hilfe einer neuen, neu kompilierten Version des ZeuS-Baukastens erstellt wurde.

Ich möchte darauf hinweisen, dass es sich bei der Erkennung von Testumgebungen um eine einmalige Funktionalität handelt. Ich nehme an, dass sie höchstwahrscheinlich auf Bestellung der Hauptfunktionalität hinzugefügt wurde, als spezielle Funktion oder auch Option, wenn man so will. Daher sieht es ganz so aus, als wäre diese ZeuS-Modifikation ein Beweis dafür, dass dieser Trojaner im Auftrag der neusten, wichtigen Kunden technisch weiterentwickelt wird.

Und was bedeutet das nun unter dem Strich? Sind das die letzten Zuckungen des sterbenden „Bots“? Oder, im Gegenteil, die Metamorphose des Trojaners in eine neue Gestalt? Möglicherweise wir ZeuS nicht mehr so weit verbreitet sein, nicht mehr für die Massen bestimmt, sondern vielleicht wird er zu einem exklusiven Trojaner, der gewissermaßen nur von Auserwählten genutzt wird? Wir werden es sehen, die Zeit wird’s zeigen …

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.