Ewolucja złośliwego oprogramowania VII-IX 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2007

Historia ta przypomina zdarzenia, jakie miały miejsce pod koniec zeszłego roku, gdy na skutek incydentów związanych z kradzieżą danych klientów banku Nordea usłyszano o trojanie Nuclear Grabber z bardzo podobną funkcjonalnością. Na pewnym etapie trojan ten był sprzedawany za 3 000 dolarów, a jego autor, Corpse, udzielił nawet wywiadu jednemu z dziennikarzy. Corpse ogłosił następnie na swojej stronie, że "wycofuje się z biznesu", że cały kod źródłowy został zniszczony wraz z dyskiem twardym i że nie będzie już dłużej tworzył ani wspierał szkodliwych programów.

W przypadku ZeuS, scenariusz był bardzo podobny. Mimo że pod koniec lipca autor zamknął sklep, konstruktor nadal krążył wśród hakerów. Umożliwiał on tworzenie nowych wariantów bota z określonymi funkcjami. Kilka rywalizujących ze sobą grup zaczęło sprzedawać i rozprzestrzeniać te nowe warianty.

Początkowo ZeuS posiadał stosunkowo ograniczoną funkcjonalność bota - pobierał jedynie inne pliki do systemu. Z czasem jednak jego funkcjonalność została rozszerzona. Nie wiadomo, czy dokonał tego sam autor, czy też te nowe funkcje zaimplementowali nowi "właściciele" kodu źródłowego. Najistotniejszą innowacją było pojawienie się uniwersalnego "interfejsu" w ZeuS, który pozwalał programowi na łączenie się z botnetem Zunker (podobnie jak Zupacha), otrzymywanie instrukcji za pośrednictwem pliku cfg.bin i wykonywanie ich w locie.

Eksperci z Kaspersky Lab stworzyli program do deszyfrowania niektórych plików cfg.bin. Okazało się, że pliki te zawierały adresy online różnych banków i systemów płatności. Właściciele botnetu mogli szybko dodać adresy nowych celów, aby śledzić aktywność użytkownika i przechwytywać dane.

Oprócz standardowych procedur (takich jak instalowanie się na zaatakowanej maszynie, wstrzykiwanie własnego kodu do uruchamianych procesów, zwalczanie niektórych rozwiązań antywirusowych), bot posiadał również rozbudowaną funkcjonalność kradzieży danych:

• Trojan przechwytuje zawartość Pamięci Chronionej (Protected Storage), która zawiera zapisane hasła użytkownika.
• "Form grabber". Trojan przechwytuje wszystkie dane wprowadzane do formularza przesyłanego za pośrednictwem przeglądarki. Lista monitorowanych adresów składa się, z reguły, z banków i systemów płatności. W ten sposób kradzione są konta bankowe.
• Omijanie wirtualnych klawiatur. Trojan przechwytuje wciśnięcia przycisków myszy i wykonuje zrzuty ekranu podczas przechwytywania danych.
• Fałszowanie witryn i stron. Jest to bardzo interesująca metoda, wykorzystywana wcześniej w Nuclear Grabber. Gdy użytkownik próbuje skontaktować się z jedną ze stron monitorowanych przez trojana w celu przechwytywania danych, żądanie jest przekierowywane na stronę phishingową lub do oryginalnej strony dodawane jest nowe pole wprowadzania danych. Zawartość strony jest modyfikowana na komputerze użytkownika, zanim strona zostanie wyświetlona przez przeglądarkę.
• Kradzież certyfikatów.

Cechą rozpoznawczą ZeuS, dzięki której bardzo szybko odnaleziono jego warianty w kolekcji Kaspersky Lab, jest muteks tworzony w celu zaznaczenia swojej obecności w pamięci: _SYSTEM_

Na przykład:

__SYSTEM__91C38905__
__SYSTEM__64AD0625__
__SYSTEM__23D80F10__
__SYSTEM__7F4523E5__
__SYSTEM__45A2F601__

Dzięki temu można było sklasyfikować wszystkie warianty ZeuS do oddzielnej rodziny o generycznej nazwie Zbot.

To właśnie jest ten "uniwersalny" kod; wykorzystuje on wiele oryginalnych metod w celu kradzieży wszelkiego rodzaju danych. Najniebezpieczniejsze jest to, że do każdego nowego wariantu można dodać wiele innych funkcji, tak jak w przypadku Gpcode.ai.