Monthly Archive for May, 2008

EULA & Anleitung von wsnpoem

Im Internet kursiert seit ende April die EULA (end-user license agreement) sowie die Anleitung von wsnpoem. Die Software hinter wsnpoem nennt sich “ZeuS”. Die EULA wurde samt Anleitung in russisch von Symantec (link) gesichtet:

Leider ist das Help-File, welches die Anleitung sowie die EULA beinhalten, in russisch nicht für jedermann verständlich. Dank der Unterstützung eines Sprachkundigen ist es mir jedoch mit seiner Erlaubnis möglich, euch sinngemässe deutsche Auszüge aus dem Text vorzustellen. Das Help-File lässt vermuten, dass die Software von Dritt-Personen programmiert worden ist und zur Verwendung weiterverkauft oder vermietet wird.

Die Software wird von dessen Autoren wie folgt beschrieben:

[...] ZeuS – im Folgenden ‘Bot’ genannt – ist eine Spyware für 32bit MS Windows 2000/XP. Sie dient zur Kontrolle von Rechnern von Opfern und zum Kopieren von auf diesen Rechnern liegenden Informationen mittels Logfiles.

ZeuS besteht aus drei Teilen:

    1. Ein auf dem/den Server/n installiertes Controlpanel
    2. Ein Builder, d.h. eine Windows Applikation zwecks Bot-Konfiguration
    3. Und dem eigentlichen Bot, d.h. der auf dem Rechner des Opfers ausgeführte Windows-Anwendung.

Der Bot
Interessant sind die Funktionen des Bots, welche jedoch grösstenteils bereits bekannt sind:

[...]

    1. Programmiert in VC++ 8.0, und zwar nur unter Benutzung der WinAPI, insbesondere ohne RTTI und der gleichen. Dadurch wird ein kompaktes Programm erreicht (ca. 10-25KB, je nach Zusammenstellung).
    2. Es wird kein eigener Prozess gestartet. Dadurch kann der Bot in der Prozessliste nicht gefunden werden.
    3. Die Mehrzahl der Firewalls wird umgangen, einschliesslich der populären Outpost Firewall in den Versionen 3 und 4; Es besteht aber momentan ein kleines Problem betreffend Anti-Spyware-Programmen. Die ungehinderte Entgegennahme eingehender Verbindungen ist ausserdem nicht garantiert.
    4. Der Bot installiert sich beim Opfer unter Benutzung von Zeitstempeln anderer Systemdateien und mit zufälliger Dateigrösse; dadurch ist er schwer aufzuspüren.
    5. Der Bot funktioniert auch mit eingeschränkten Windows-Benutzerrechten; der Einsatz unter Gast-Benutzerkonten wird derzeit jedoch nicht unterstützt.
    6. Der eigentliche Programmcode des Bot ist chiffriert und damit für Antiviren-Algorithmen unsichtbar.
    7. Auf Wunsch werden jegliche Spuren der Anwesenheit des Bots unterdrückt; insbesondere auf das Auslagern von Firewalls und Antivirensoftware, auf die Unterdrückung deren Updates, auf das Blockieren von Ctrl-Alt-Del, und auf andere bei Spyware-Autoren beliebte Erkennungsmuster wird verzichtet.
    8. Blockierung der Windows-eigenen Firewall; diese Funktion ist nur zur problemlosen Entgegennahme eingehender Verbindungen erforderlich.
    9. Der Bot speichert/empfängt und sendet alle seine Einstellungen, Logs und Anweisungen in verschlüsselter Form und unter Nutzung des HTTP/HTTPS Protokolls; das bedeutet, dass nur Sie die Daten als Klartext sehen können; die Bot <-> Server Kommunikation wird ansonsten wie Müll aussehen.
    10. NAT-Detektion durch Prüfung der eigenen IP mit Hilfe einer von Ihnen definierten Webseite.
    11. Eine dedizierte Konfigurationsdatei schützt vor dem Verlust des Botnetzes, falls der Hauptserver ausfallen sollte. Darüber hinaus können zusätzliche Konfigurationsdateien als Reserve angegeben werden, auf die der Bot zugreift, falls die Hauptdatei ausfällt. Dieses Verfahren garantiert in 90% aller Fälle das Überleben Ihres Botnets.

[...]

Insgesamt sind hier 24 Punkte aufgeführt. Nicht erwähnt habe ich bereits bekannte Funktionen wie z.B. das Mitschneiden von HTTP POST und GET Anfrage, socks4 + HTTP Proxy Funktion, Abfangen von POP3 und FTP Logins/Passwörter sowie das Ändern des lokalen DNS.

Auch die von vielen Banken so hoch gelobte “Virtuelle Tastatur” kann von dem Trojaner mit geschnitten werden:

[...]

    12.8. IDEALE LÖSUNG FÜR VIRTUELLE TASTATUREN: Nachdem Selektion der konfigurierten URL wird ein Screenshot desjenigen Bereich des Bildschirms vorgenommen, innerhalb dessen die linke Maustaste gedrückt wurde.

[...]

Punkt 19. gefällt mir besonders:

[...]
    19. Seit dem Booten des Rechners besuchte Seiten werden aufgezeichnet. Dies ist bei vorhandener Sploit Installation nützlich: wenn Sie den Download über einen zweifelhaften Service erwerben, so erfahren Sie so, was parallel sonst noch geladen wird.

[...]

Komisch, denn mit Sploits wird NUR auf zweifelhaften Webseiten gehandelt. Die Autoren von ZeuS trauen also den Leuten aus dem selben Business nicht.

Das Steuerungspanel

Dieser Absatz umfasst insgesamt 11 Punkte. Es wird mit einer “Einfachen Installation” geworben. Des Weiteren werden hier die Voraussetzungen wie “PHP und MySQL” beschrieben:

[...]

    4. Statistik über die erfolgten Infizierungen.
    5. Statistik über die momentan Online geschalteten Bots.
    6. Aufteilung des Botnets in Sub-Botnets.
    7. Übersicht über die Online geschalteten Bots, auch mit Filtermöglichkeit
    8. Speichern von Logs in einer Datenbank. Dies hat folgende Vorteile:
    [...]
    10. Kommandos können an die Bots abgesetzt werden, auch mit Filtermöglichkeit.

[...]

EULA / Vereinbarung

Amüsant ist der Abschnitt “Vereinbarung” (EULA):

[...]
Der Verkäufer:

    1. Bietet qualifizierten technischer Support via Internet.
    2. Haftet nicht für:
    Datenverlust
    Schliessung oder Abschaltung von Servern
    Datenkommunikations-Kosten
    3. Verpflichtet sich, in ZeuS gefundene Bugs zu beheben und kurzfristig Gratis-Patches zur Verfügung zu stellen.
    4. Verpflichtet sich, Vorschläge/Meinungen und Rückmeldungen über ZeuS entgegenzunehmen und in angemessener Weise darauf einzugehen.

Der Kunde:

    1. Ist nicht berechtigt, ZeuS für kommerzielle oder nicht-kommerzielleZwecke zu verbreiten, die den Interessen des Verkäufers zuwiderlaufen.
    2. Ist nicht berechtigt, den Binärcode des Bots oder des Builders zu disassemblieren und/oder zu analysieren.
    3. Ist nicht berechtigt, das Controlpanel zur Verwaltung anderer Botnets oder zu anderen Zwecken zu verwenden, die nicht mit ZeuS in Zusammenhang stehen.
    4. Ist nicht berechtigt, absichtlich Teile von ZeuS an Antiviren-Software-Anbieter oder andere, ähnliche Einrichtungen zu senden.
    5. Verpflichtet sich, den Verkäufer für Updates von ZeuS zu bezahlen, die nicht im Rahmen von Bug-Behebungen erfolgen. Dasselbe gilt ebenso für Ergänzung um zusätzliche Funktionalitäten.

Wird gegen diese Vereinbarung verstossen und dieser Verstoss entdeckt, so verlieren Sie jegliche technischen Unterstützung. Darüber hinaus wird der Bot in Ihrer Zusammenstellung unverzüglich
Antiviren-Software-Anbietern zugeschickt. [...]

Die restlichen Seiten beinhalten eine Versions-History (derzeit 1.0.2.0) und eine Anleitung für die Anpassung und Installation des Bots sowie dessen Befehle. Auch der Aufbau des Konfigurationsfiles, der TAN-Grabber und das Umlenken der Banken-URLs wird ausführlich beschrieben.

Fazit

Der Server, welcher das Konfigurationsfile hortet, sowie die Software “ZeuS” wird inkl. Know-How gemietet oder eingekauft. Die Kriminellen, welche an die Bank-Daten der Opfer gelangen möchten, besitzen somit höchstwahrscheinlich ein nicht so grosses Know-How im Bereich der Informatik als bisher angenommen. Das Tool macht es möglich, aus einem Leihen einen “professionellen” Internet Kriminellen zu machen.

Money-Mule wird immer raffinierter

Seit Ende des letzten Jahres erhalte ich fast täglich so genannte Money-Mule emails (auch bekannt als “Job Offer Scam” oder “Money Laundering”. Zu deutsch: Geldwäscherei).

Der Begriff “Money-Mule” ist relativ neu und dürfte den meisten noch nicht bekannt sein. In “Money-Mule” Mails wird meistens mit einem angeblichen Job-Angebot als Teilzeit-Angestellter im Finanzwesen geworben. Dabei wird auch oft mit einem hohen Salär geworben um die “Money-Mules” anzulocken. Sagt man dem Job-Angebot zu, wird man innert kurzer Zeit gebeten eine Summe an Geld entgegen zu nehmen und dieses (meistens) an ein Konto bei Western Union zu überweisen. Doch woher kommt das Geld? Der eine oder andere erinnert sich sicher noch an wsnpoem, welcher die Bank Daten von infizierten Rechner ausspioniert hat. Die dort geklauten Bank Login Daten werden verwendet um Geld von den Bankkonten zu stehlen (Phishing). Um die Identität der Phisher zu verschleiern, muss der Datentransfer über mehrere Konten geschehen. Genau hier kommen die angeworbenen Money-Mules zum Einsatz.

Normalerweise sind die Money-Mule emails ziemlich simpel verfasst und der normale User stempelt diese gleich als “Spam” ab. Das Email, welches ich heute jedoch erhalten habe, sieht schon ziemlich professioneller aus (Von: “ELCA Services Organisation”, Betreff: “We’ll find out a job for you in Switzerland!”). Des Weiter ist das Email in HTML verfasst:

Klickt man auf “Reply”, öffnet sich ein neues Mail mit “ElcaServorg@gmail.com” als Empfänger.

Da es bei diesen Banktransfers um gestohlenes Geld handelt, macht sich jeder gemäss Schweizer Gesetzt der Geldwäscherei strafbar, welcher sich an den illegalen Geldtransfers beteiligt. Es wird also dringend abgeraten auf solche Job-Gebots zu reagieren.

UPDATE 30.05.08

MELANI hat heute eine entsprechende Information zu Money-Mule Mails herausgegeben:

Information: Erneut werden Finanzagenten zwecks Geldwäscherei gesucht




economics-recluse
Scene
Urgent!