Ewolucja złośliwego oprogramowania VII-IX 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2007

W poszukiwaniu "uniwersalnego" kodu

Zunker oraz Zupacha

Czym więc specjaliści z Kaspersky Lab zajmowali się przez cały ten czas? Strony hakerskie aktywnie sprzedawały pakiet Zunker+Zupacha - centrum dowodzenia botnetu oraz klient bota. To już wiedzieli. Interesującym odkryciem było to, ile pieniędzy nieznani autorzy systemu bota żądali za swój pakiet: do 3000 dolarów. Od czasu do czasu pojawiały się oferty "dwa w jednej cenie" w wysokości około 200 dolarów. Takie oferty składali prawdopodobnie inni właściciele kodu źródłowego pakietu trojanów.

Eksperci Kaspersky Lab jednak nie mieli żadnych problemów z uzyskaniem plików Zunkera oraz Zupacha za darmo, znając adresy niektórych aktywnych botnetów. Wystarczyło skorzystać z Google.

Funkcje Zupacha okazały się groźne. Oprócz pobierania plików na zaatakowaną maszynę, głównym zadaniem tego programu jest dalsze rozprzestrzenianie się. Opisano już jeden ze sposobów jego rozprzestrzeniania się (poprzez zamieszczanie swoich tekstów w wiadomościach na forach). Ogólnie, Zupacha potrafi rozsyłać swoje odsyłacze przy użyciu technik spamowych w następujący sposób:

• Spam ICQ/Jabber: Teksty z odsyłaczami do zainfekowanych stron dodawane są do wszystkich wiadomości, które ofiara wymienia ze swoimi kontaktami za pośrednictwem tych klientów komunikatorów internetowych.
• Spam WWW: Teksty dodawane są do każdego formularza internetowego wypełnionego przez użytkownika. Z reguły są to formularze znajdujące się na forach oraz interfejsach sieciowych systemów pocztowych.
• Spam e-mail: Teksty dodawane są do wiadomości e-mail.

Należy zauważyć, że w zaprezentowanych wyżej przypadkach Zupacha nie inicjuje masowej wysyłki wiadomości. Monitoruje jedynie aktywność użytkownika i dodaje swoje teksty do każdej wiadomości wychodzącej - w taki sposób, żeby użytkownik ich nie zauważył! Celem tej funkcji jest utrudnienie wykrycia infekcji.

Jednak Zupacha nie kradnie danych - jest to jedynie samodzielnie rozprzestrzeniający się trojan downloader. Dlatego też, nie może być niesławnym "uniwersalnym" kodem.

Odpowiedź na pytanie otrzymano po dalszej analizie ofert hakerów dotyczących szkodliwych programów: "uniwersalny" kod, który został wykorzystany w setkach wariantów Bancos.aam, Gpcode.ai oraz Broker okazał się botem ZeuS (nazwa użyta przez samego autora).

ZeuS - Zbot

Zgromadzone przez Kapsersky Lab dane dotyczące wariantów ZeuS, które już posiadano, plus dochodzenia przeprowadzone w Internecie, pozwoliły uzyskać prawie pełny obraz tego programu.

Należy zacząć od faktu, że bot został pierwotnie stworzony w celu odsprzedaży każdemu, kto chciałby go kupić, oraz skonfigurowania zgodnie z życzeniami klienta. Autor programu nie oferował "wsparcia technicznego" osobom, które go zakupiły, zlecając tą funkcję innym. Po rozgłosie wokół Gpcode.ai oraz Broker wydaje się, że autor uznał, że jego twór za bardzo zwrócił na siebie uwagę i organy ścigania wykazywały zbyt wielkie zainteresowanie nim. Ogłosił więc, że sprzedaż programu została zakończona. Powyższy zrzut ekranu pokazuje rozmowę, w której autor programu wyjaśnia, że program nie jest już na sprzedaż, jednak "starzy klienci" nadal będą otrzymywali wsparcie.