O pojawieniu się źródeł jednego z najpopularniejszych trojanów bankowych ZeuSa jest od kilku dni w sieci głośno. Od spekulacji na temat tego kto opublikował kod sieć, aż trzeszczy. Czy to sami autorzy opublikowali kod by skupić się na budowie nowego, lepszego oprogramowania? Być może publikacji dokonała bezpośrednia konkurencja lub ktoś kto chciał pokazać, że cyberprzestępców też można podejść. Niezależnie od powodu Tech Herald oraz Josh Abraham przeanalizowali kod źródłowy i oto co odkryli:
- jedna ze zmian w aplikacji wprowadza obsługę protokołu IPv6 (!!!)
- transmisja jest szyfrowana ale głównie by trudniej było wykryć komunikację (wykorzystywany jest algorytm RC4)
- potrafi przechwytywać ruch sieciowy z przeglądarek WWW takich jak np. Internet Explorer czy Firefox
- przechwytuje ruch TCP i UDP
- kolekcjonuje loginy i hasła
- za pomocą protokołu Jabber może natychmiastowo z użyciem komunikatora informować o rozpoczętej transakcji bankowej (w celu np. ręcznego wstrzyknięcia własnych kont do przelewów :)
- bot jest przygotowany do pracy z minimalnymi uprawnieniami (w tym użytkownika Gość)
- umożliwia podział dużej sieci botnet na mniejsze części
- istnieje możliwość dołączania modułów np. moduł do obsługi tokenów uwierzytelniających (mTAN)
- serwer zarządzający działa w PHP, język aplikacji to C++
- z dokumentacji (!) wynika, że do wersji 2.0.0.0 wprowadzono 25 zmian (np. obsługę protokołów Jabber, FTP, POP3)
- aplikacja jest napisana profesjonalnie, momentami w dość pokrętny by nie stwierdzić szalony sposób (zerknijcie w załączony obrazek ilustrujący wewnętrzne powiązania w aplikacji) lub do źródła
- obsługuje proxy Socks 4/4a/5
- wykorzystuje biblioteki wininet.dll, nspr4.dll do przechwytywania ruchu z przeglądarek (może zmieniać ruch w trakcie przesyłania, blokować treści, logować dane, wykonywać zrzuty ekranu)
- potrafi odzyskiwać hasła z aplikacji takich jak FlashFXP, CuteFTP, Total Commander, WsFTP, FileZilla, FAR Manager, SinSCP, FTP Commander, CoreFTP, SmartFTP
- uzyskuje dostęp do Cookies z przeglądarek oraz Cookies aplikacji Flash
- umożliwia import certyfikatów SSL
- istnieje 114 domen w różnej konfiguracji, które standardowo są podsłuchiwane
I jeszcze jako ciekawostka, wymagania do obsługi serwera zarządzającego:
The server is the central point of control the botnet, it is engaged in collecting reports of bots and command bots. It is not recommended to use „Virtual Hosting” or „VDS”, as with an increase in the botnet, the server will increase, and this kind of web hosting quickly exhaust its resources. You need a „Dedicated Server” (Ded), the recommended minimum configuration:
* 2Gb RAM.
* 2x 2GHz processor speed.
* Separate hard drive for the database.For bot to work requires HTTP-server with PHP + Zend Optimizer attached, and MySQL-server.
WARNING: For Windows-based servers is very important to change (create) the following registry value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MaxUserPort=dword:65534 (decimal).*
HTTP-server:
As an HTTP-server is recommended to use: for nix-system – Apache from version 2.2, for Windows-servers – IIS from version 6.0. It is recommended to keep the HTTP-server on port 80 or 443 (a positive effect on bot run, as providers/proxy can block access to some non-standard ports).
Download Apache: http://apache.org/dyn/closer.cgi.
IIS website: http://www.iis.net/.
*PHP interpreter:
The latest version of the control panel was developed on PHP 5.2.6. Therefore, it is highly recommended to use version, at least this version.
It is important to make the following settings php.ini:
o safe_mode = Off
o magic_quotes_gpc = Off
o magic_quotes_runtime = Off
o memory_limit = 256M ;Or higher.
o post_max_size = 100M ;Or higher.and also recommended that you change these settings:
o display_errors = OffAlso need to enable the Zend Optimizer (acceleration of the script, and run protected scripts). Recommended version from 3.3.
Not recommended to connect PHP to the HTTP-server via CGI.
Download PHP: http://www.php.net/downloads.php.
Download Zend Optimizer: http://www.zend.com/en/products/guard/downloads.
*MySQL-server:
MySQL is required to store all data about the botnet. The recommended version is not below 5.1.30, well worth considering, that when ran the control panel in the older versions were detected some problems. All table control panel, go to format MyISAM, it is important to optimize speed of work with this format, based on the available server resources.
Recommended the following changes to the settings MySQL-server (my OR my.ini):
o max_connections=2000 #Or higherDownload MySQL: http://dev.mysql.com/downloads/.