Banking-Trojaner Carberp: Gestern 50.000 US-Dollar, heute gratis im Netz

Im Netz kursiert offenbar der Quellcode des Online-Banking-Trojaners Carberp – eines der teuersten und leistungsfähigsten Vertreter seiner Gattung. Carberp soll dazu in der Lage sein, den Master Boot Record (MBR) der Festplatte zu infizieren, um sich der Entdeckung durch Virenschutzprogramme zu entziehen. Einer ersten Analyse zufolge ist das MBR-Modul tatsächlich Teil des rund zwei GByte großen Quellcode-Archivs.

Ende vergangenen Jahres verlangten die Macher des wahrscheinlich leistungsstärksten Banking-Trojaners Carberp noch gut 40.000 US-Dollar für den Vollzugriff auf ihrer Schöpfung. Wollte man den Schädling mieten, wurden pro Monat Summen zwischen 2000 und 10.000 US-Dollar fällig, wie RSA seinerzeit in einem Blogbeitrag schrieb.

Der Sourcecode wurde Anfang Juni für 50.000 US-Dollar angeboten. Vor einigen Tagen tauchte dann in russischen Untergrundforen der Sourcecode des Schädlings zum Gratis-Download auf. In der Folge verbreitete sich das 1,88 GByte große Archiv dann auch in allgemeinen Hackingforen wie trojanforge.com und wird im Moment auch über die viel diskutierte, vom deutschen Kim Schmitz aka Kim Dotcom ins Leben gerufene Downloadplattform Mega verteilt.

Eine der Besonderheiten der seit 2010 entwickelten Malware ist das Bootkit (W32/Rovnix), das offenbar auch Teil des kursierenden Archivs ist. Das Bootkit infiziert den Master Boot Record von Windows-Maschinen (Windows XP, Windows 7, Windows 8) und unterläuft damit gängige Antivirensoftware. Das Bootkit soll einen unsignierten Treiber in den Bootvorgang von Windows einhängen, der weitere Schadmodule ausführt. Das gelingt angeblich auch bei den 64-bittigen Windows-Versionen, da der Treiber vor dem Patch Guard ausgeführt werden soll. Der Patch Guard verhindert eigentlich das Laden unsignierter Treiber. Das Bootkit soll ein unsichtbares, verschlüsseltes Dateisystem benutzen, das in nicht zugewiesenen Sektoren der Festplatte gespeichert ist.

Die Analyse meldet auch, dass im Archiv ältere Malware-Varianten als Sourcecode liegen und auch vertraulich Chats der Schädlingsschöpfer. Malware-Experten gehen davon aus, dass Carberp durch das unkontrollierte Kursieren des Sourcecodes ein Comeback feiern wird. Dank des vollständigen Pakets inklusive Builder können nun auch weniger versierte – oder betuchte – Online-Kriminelle auf Beutefang gehen. Ähnliches passiert vor knapp zwei Jahren, als plötzlich der Quellcode des populären Bankingtrojaners ZeuS im Netz auftauchte. Eine der Folgen dieses Lecks: die noch gefährlichere Malware Citadel.

Update vom 26.06.2013, 11:50: Da derzeit nicht eindeutig geklärt ist, ob der Schädling tatsächlich eine Windows-Neuinstallation überlebt, wurde diese Angabe aus der Tickermeldung entfernt. Außerdem haben wir Details zur Funktionsweise des Bootkits ergänzt. (rei)