» »

Izvorna koda botneta Zeus ušla na internet

Izvorna koda botneta Zeus ušla na internet

Shema delovanja botneta Zeus

vir: Wikipedia

vir: Heise
Heise -

Zeus (aka Zbot, PRG, Wsnpoem, Gorhax) je že skoraj pet let star trojanec za okolje MS Windows, ki s beleženjem tipk (keylogging) in vnosov v spletne obrazce (form grabbing) krade podatke za dostop do storitev spletnega bančništva, številke kreditnih kartic, prijavna gesla in druge visokovredne podatke. Zbrano nato pošlje na par centralnih strežnikov. S pomočjo dobro organizirane in mednarodne kriminalne združbe se denar prenakaže na druge račune, opere in prenese na offshore accounte. Celotna operacija je bila izredno široka in uspešna - okuženih naj bi bilo več milijonov računalnikov na obeh straneh Atlantika, tako osebnih kot tistih v podjetjih in vladnih ustanovah.

Policija je izvedla več aretacij, vendar je bot preživel, ker je bil razvoj ločen od uporabe; se pravi, razvijalci so prevedno različico prodali več kriminalnim združbam in četudi so oblasti ustavile eno, je to le sprostilo prostor za delovanje drugih. Cena se je gibala od 700 pa do 15.000 dolarjev, odvisno od zmogljivosti.

Konec aprila so se stvari spremenile - nekdo z vzdevkom IOO je na več podzemnih forumih začel ponujati kar celotno izvorno kodo botneta. Kodo je očitno nekdo kupil in dal na voljo javnosti, kajti zadnjih nekaj tednov kroži po ponudnikih brezplačnega gostovanja datotek. Več neodvisnih raziskovalcev je že potrdilo njeno pristnost.

Napisana je v jeziku C++, v ZIP datoteki pa so na voljo klient (za okužene računalnike), strežnik (za zbiranje ukradenih podatkov), skripte za prevajanje in celo projektna datoteka za Microsoft Visual Studio. Koda se prevede, je lepo berljiva in v neobfuskirani obliki, zato pa manjkajo komentarji. Pripada najnovejši različici 2.0.8.9.

Obstaja odkrit strah, da bo to povzročilo razmah uporabe bota.

13 komentarjev

Hair ::

a še kdo vidi, kako se ruši celotna monetarna struktura? :D
če dodamo še 77 mil. podatkov od sonyja in recimo tole, dobmo bolj celostno podobo.

the new age :)
all hail internet! :D
Whenever people agree with me, I feel I must be wrong.

Bistri007 ::

Kolikor vidim iz screenshota VS IDE na http://www.csis.dk/en/csis/blog/3176/ , komentarji so. Ampak so v ruščini... (moraš imeti še RU codepage nastavljen)
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

residual ::

za večino uspeha teh botov so krivi nerazgledani in nevešči uporabniki ter leni admini po firmah

jaz še nakako najbolj zaupam PayPal-u v kombinaciji z Visa elektron, glede na to da se ogromno nelegalnih stvari odvija čez ebay. Sami kriminalci si menda ja ne bodo rušli svoje integritete.

banke pa naj porihtajo svoje stvari kot morajo, če na pa gremo nazaj na stari keš flow, kar je trn v peti državi.

Bistri007 ::

ST članek:
zato pa manjkajo komentarji

Sem res preveril, source/client/core.cpp, komentarji so:
////////////////////////////////////////////////////////////////////////////////////////////////////
// Список процессов.
////////////////////////////////////////////////////////////////////////////////////////////////////

typedef struct
{
  DWORD nameId;  //Имя процесса, может модержать маску если folder == CSIDL_DESKTOP.
  DWORD rights; //Права CDPF_RIGHT_*.
  DWORD folder; //Папка процесса CSIDL_. Если folder == CSIDL_DESKTOP, папка может быть любая.
}
PROCESSRIGHTS;

//!!! КОД для CSIDL_DESKTOP не активен!
const static PROCESSRIGHTS processRights[] =
{
  //Процессы, которые присутвуют на протяжений все сессии пользователя.
  {CryptedStrings::id_core_pr_dwm,      Core::CDPF_RIGHT_CONTROL,                                                                                                        CSIDL_SYSTEM},
  {CryptedStrings::id_core_pr_taskhost, Core::CDPF_RIGHT_CONTROL | Core::CDPF_RIGHT_SERVER_SESSION | Core::CDPF_RIGHT_TCP_SERVER | Core::CDPF_RIGHT_BACKCONNECT_SESSION, CSIDL_SYSTEM},
  {CryptedStrings::id_core_pr_taskeng,  Core::CDPF_RIGHT_CONTROL | Core::CDPF_RIGHT_SERVER_SESSION | Core::CDPF_RIGHT_TCP_SERVER | Core::CDPF_RIGHT_BACKCONNECT_SESSION, CSIDL_SYSTEM},
  {CryptedStrings::id_core_pr_wscntfy,  Core::CDPF_RIGHT_CONTROL,                                                                                                        CSIDL_SYSTEM},
  {CryptedStrings::id_core_pr_ctfmon,   Core::CDPF_RIGHT_CONTROL,                                                                                                        CSIDL_SYSTEM},
  {CryptedStrings::id_core_pr_rdpclip,  Core::CDPF_RIGHT_CONTROL,                                                                                                        CSIDL_SYSTEM},
  {CryptedStrings::id_core_pr_explorer, Core::CDPF_RIGHT_CONTROL | Core::CDPF_RIGHT_SERVER_SESSION | Core::CDPF_RIGHT_TCP_SERVER | Core::CDPF_RIGHT_BACKCONNECT_SESSION, CSIDL_WINDOWS},
};

////////////////////////////////////////////////////////////////////////////////////////////////////
// Утилиты.
////////////////////////////////////////////////////////////////////////////////////////////////////


-----------------------------------
A ne bi šel S-T že ennkat na UTF-8?
Še enkrat, ne v code-boxu

////////////////////////////////////////////////////////////////////////////////////////////////////
// Список процессов.
////////////////////////////////////////////////////////////////////////////////////////////////////

typedef struct
{
DWORD nameId; //Имя процесса, может модержать маску если folder == CSIDL_DESKTOP.
DWORD rights; //Права CDPF_RIGHT_*.
DWORD folder; //Папка процесса CSIDL_. Если folder == CSIDL_DESKTOP, папка может быть любая.
}
PROCESSRIGHTS;

//!!! КОД для CSIDL_DESKTOP не активен!
const static PROCESSRIGHTS processRights[] =
{
//Процессы, которые присутвуют на протяжений все сессии пользователя.
{CryptedStrings::id_core_pr_dwm, Core::CDPF_RIGHT_CONTROL, CSIDL_SYSTEM},
{CryptedStrings::id_core_pr_taskhost, Core::CDPF_RIGHT_CONTROL | Core::CDPF_RIGHT_SERVER_SESSION | Core::CDPF_RIGHT_TCP_SERVER | Core::CDPF_RIGHT_BACKCONNECT_SESSION, CSIDL_SYSTEM},
{CryptedStrings::id_core_pr_taskeng, Core::CDPF_RIGHT_CONTROL | Core::CDPF_RIGHT_SERVER_SESSION | Core::CDPF_RIGHT_TCP_SERVER | Core::CDPF_RIGHT_BACKCONNECT_SESSION, CSIDL_SYSTEM},
{CryptedStrings::id_core_pr_wscntfy, Core::CDPF_RIGHT_CONTROL, CSIDL_SYSTEM},
{CryptedStrings::id_core_pr_ctfmon, Core::CDPF_RIGHT_CONTROL, CSIDL_SYSTEM},
{CryptedStrings::id_core_pr_rdpclip, Core::CDPF_RIGHT_CONTROL, CSIDL_SYSTEM},
{CryptedStrings::id_core_pr_explorer, Core::CDPF_RIGHT_CONTROL | Core::CDPF_RIGHT_SERVER_SESSION | Core::CDPF_RIGHT_TCP_SERVER | Core::CDPF_RIGHT_BACKCONNECT_SESSION, CSIDL_WINDOWS},
};

////////////////////////////////////////////////////////////////////////////////////////////////////
// Утилиты.
////////////////////////////////////////////////////////////////////////////////////////////////////
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Zgodovina sprememb…

  • spremenilo: Bistri007 ()

FireSnake ::

Tole si obvezno dol cuknem in pogledam kodo ....
Poglej in se nasmej: vicmaher.si

poweroff ::

Kaj je to neka kurioziteta za uporabnike Winsow? :))
sudo poweroff

gslo ::

lol, windows trojan in source na netu, smells like honeypot + backdoorz. :P

Zgodovina sprememb…

  • spremenilo: gslo ()

Bor H ::

Am, a ni to tut kršenje avtorskih pravic in ST mirno to reklamira?

MrStein ::

Saj ni prvič, al?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

BorH - res je, je kršenje avtorskih pravic. Ampak - to mora avtor vložit tožbo. :D

Naj izvoli, LOL.
sudo poweroff

knesz ::

poweroff je izjavil:

BorH - res je, je kršenje avtorskih pravic. Ampak - to mora avtor vložit tožbo. :D

Naj izvoli, LOL.

Potemtakem bi morali na ST dovoliti vse objave, ki kršijo avtorske pravice in jih brisati samo, če bo avtor vložil tožbo oz. pritožbo, LOL

ender ::

Če S-T samo poroča, da se je nekaj zgodilo, to ni kršenje avtorskih pravic. Saj ni prvič da imamo novico o pobegli izvorni kodi.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

P3Hi ::

reports_files.php -> PHP/Panda.A
reports_db.php -> PHP/Panda.B
botnet_scripts_php -> PHP/Bot.D
zsbcs.exe -> BDS/Botnet.q.1
client32.bin -> TR/Spy.Zbot.aogb.5
zsb.exe -> TR/Kazy.7027.31 ^^ predkompajlano tak da ne laufat, če ne zaupate :=)

No pa preglejmo source, če je kej pametnega ;((

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Napadi na medbančno omrežje SWIFT čedalje pogostejši

Oddelek: Novice / Varnost		65838 (4564) krneki0001
»

Nemčija obtožuje Rusijo hekerskega napada

Oddelek: Novice / Varnost		2412034 (9969) zmaugy
»

Brian Krebs spet na udaru hekerjev

Oddelek: Novice / NWO		196850 (4866) jype
»

Ameriška višja šola potrdila desetletno virusno okužbo in krajo občutljivih osebnih p

Oddelek: Novice / Varnost		135569 (4389) SuperVeloce
»

Upravljavec strani Kino.to nezakonito pridobil več milijonov evrov

Oddelek: Novice / Avtorsko pravo		127034 (5899) digitalcek

Več podobnih tem