Quellcode des ZeuS-Trojaners frei im Netz
Der auf Online-Banking spezialisierte Trojaner gehört zu den gefährlichsten Schädlingen. Jetzt ist sein vollständiger Sourcecode frei zugänglich im Internet aufgetaucht. Zuletzt wurden in Untergrundforen fünfstellige Summen für den Code verlangt.
- Uli Ries
- Daniel Bachfeld
An mehreren Stellen im Internet ist ein Archiv aufgetaucht, dessen Inhalt sich als der Quellcode von ZeuS (Version 2.0.8.9) entpuppt. Dies hat der Malware-Experte Thorsten Holz im Gespräch mit heise security bestätigt. Er weiß nach eigenen Angaben schon seit mehr als zwei Wochen von dem Archiv. Inzwischen hat auch das IT-Sicherheitsunternehmen CSIS in einem Blogbeitrag die Entdeckung dokumentiert. Holz hält die heise security vorliegende RAR-Datei für authentisch und auch CSIS bestätigt, dass sich der Sourcecode für Trojaner und dazu gehörendes PHP-Panel kompilieren lässt. Im Archiv enthalten ist auch der Builder, der zum Erzeugen der ausführbaren Malware benötigt wird.
Unklar ist, wer den Quellcode in Umlauf gebracht hat und warum. Eines der kursierenden Archive ist mit einem Passwort geschützt, das üblicherweise AV-Hersteller zum Austausch von Viren in Archiven verwenden. Ob ein AV-Hersteller den Quellcode versehentlich preisgegeben hat, ist unklar. Andere Archive haben das Passwort zeus. Das Auftauchen des Codes erstaunt auch deshalb, da er erst vor knapp zwei Monaten erstmals in einem Untergrundforum zum Verkauf angeboten wurde. Nachdem der ZeuS-Autor ein Komplettpaket zuvor für zirka 10.000 Dollar verkauft hat, hielt der Sicherheitsfachmann Aviv Raff einen Preis von 100.000 US-Dollar für den Code für realistisch. Wahrscheinlicher dürften aber deutlich niedrigere Summen bis in den vierstelligen Bereich gewesen sein.
Mit Auftauchen des Sourcecodes wird ZeuS möglicherweise einen zweiten Frühling erleben, nachdem es zuvor vergleichsweise still wurde um die Malware. Berichten zufolge übergab im vergangenen Jahr der ZeuS-Entwickler "Slavik" seinen gesamten Sourcecode an den SpyEye-Entwickler "Harderman" und zog sich aus der weiteren Entwicklung zurück. RSA hat bestätigt, dass in SpyEye 1.3 Quellcodeteile von ZeuS enthalten sind. Laut Kaspersky ist im März aber noch eine neue, bislang nicht bekannte ZeuS-Version aufgetaucht. Dies spräche laut Kaspersky-Blog dafür, dass ein Entwickler aus Gründen der Kundenpflege neue Funktionen in den Trojaner integriert hat.
Des kursierenden ZeuS-Programmcodes werden sich jetzt mit großer Wahrscheinlichkeit verschiedene Programmierer annehmen. Sie können auf Basis des Quellcodes leicht neue Versionen erzeugen und in Umlauf bringen. Da die Codebasis aber auch den Antivirenherstellern seit längerem bekannt ist, dürfte eine neue Generation jedoch leichte Beute für AV-Scanner werden. (dab)
