Quellcode von Erpresser-Bot Zemra aufgetaucht

Im Netz kursieren die Quellcode-Dateien des Zemra-Bots, der von Cyber-Erpressern bereits für DDoS-Angriffe auf Webseiten eingesetzt wird. Im Gegensatz zu dem sehr verbreiteten ZeuS-Bot, dessen Quellcode man ebenfalls im Netz findet, ist Zemra ein sehr neuer Schädling: Nach Angaben der Antivirenfirma Symantec wird er erst seit Mai dieses Jahres in Untergrundforen zum Kauf angeboten. Beunruhigend ist, dass die Virenscanner des Unternehmens den Schädling erst seit rund einer Woche erkennen.

Laut Symantec ist der Bot bislang noch nicht besonders verbreitet, was sich durch die Verfügbarkeit des Quellcodes jedoch schlagartig ändern könnte; nun kann jedermann den Bot für seine Zwecke modifizieren. Und das ist nicht besonders schwer: Zemra wurde in C# entwickelt. Den Quellcode sollte jeder mit rudimentären Programmierkenntnissen verstehen können. Neue Funktionen lassen sich im Handumdrehen einbauen.

Die meisten Gauner dürften jedoch schon mit dem "Auslieferungszustand" sehr zufrieden sein: Neben DDoS-Angriffen in diversen Spielarten soll Zemra auf Zuruf Programme aus dem Netz nachladen und ausführen können. Darüber hinaus kann der Bot auf dem infizierten Rechner einen SOCKS-Proxy öffnen, durch den der Botnetz-Betreiber die Internetverbindung des Opfers für beliebige Zwecke einspannen kann. Außerdem soll sich Zemra über USB-Sticks verbreiten können. Die Kommunikation zwischen Bot und dem PHP-basierten Kontrollserver, der ebenfalls mitgeliefert wird, erfolgt verschlüsselt.

[Update 04.07.2012, 17:00]: Der Betreiber des Blogs easysurfer.me erklärte gegenüber heise Security, dass er den Quellcode in Umlauf gebracht hat. Er hat ihn zuvor nach eigenen Angaben so verändert, dass man ihn noch ohne Weiteres kompilieren kann. In einem Blog-Beitrag hat er entscheidende Stellen des Quellcodes analysiert und weist darüber hinaus auf eine Backdoor im Kommandoserver hin. (rei)