Experten von Kaspersky Lab stießen im zurückliegenden Vierteljahr bei der Analyse des Verschlüsselungs-Trojaners Gpcode.ai auf interessante Parallelen zwischen einer Vielzahl von Schadprogrammen. Der Trojaner basiert auf einer Art „Universalcode“, der in verschiedenen Varianten in Trojan-Downloaders, Trojan-Spys und Backdoors vorkommt.
Diese Entdeckung und weitere Beobachtungen aus den vergangenen drei Monaten können im Quartalsbericht „Malware-Bedrohungen im dritten Quartal“ auf viruslist.de nachgelesen werden.
Bei der Analyse von Gpcode.ai konzentrierte sich Kaspersky Lab auf mehrere Indizien, darunter den im Trojaner-Body enthaltenen String _SYSTEM_64AD0625_, mit dem Gpcode seine Anwesenheit im Arbeitsspeicher markiert. Als die Experten ihre umfangreiche Virenkollektion nach dieser Zeile durchsuchten, war das Ergebnis mehr als überraschend: Sie tauchte in den unterschiedlichsten trojanischen Schadprogrammen auf, zu denen beispielsweise die Klassen Trojan-Downloader, Trojan-Spys und Backdoors gehören. Die Stichproben hatten jedoch noch mehr Gemeinsamkeiten. So installieren sie zahlreiche Dateien, modifizieren Windows-Ordner und stimmen auch zu mehr als 80 Prozent im Programmcode überein.
Die Antiviren-Experten waren damit auf eine Art „Universalcode“ gestoßen, der sich vielseitig einsetzen lässt. Seine Funktionen eignen sich unter anderem für Datendiebstahl und zum Malware-Download auf bereits infizierte Rechner. Mit dem „Universalcode“ ausgestattete Programme können aber auch als Bots fungieren und infizierte Computer an Zombie-Netze anschließen.
Im nächsten Schritt analysierte Kaspersky Lab die im Universalcode enthaltenen Links anhand zahlreicher aktueller Malware-Versionen. Wie die Recherchen ergaben, besteht zwischen Schädlingen wie Zhelatin, Warezov, Bancos.aam, Bzub und Gpcode.ai eine Verbindung. Nun galt es, den Programmierer des „Universalcodes“ zu enttarnen und herauszufinden, ob sämtliche damit erstellte Malware auf das Konto ein und derselben Hacker-Gruppe geht.
Mit ZeuS war der Urheber der Schädlinge bald gefunden. Die Malware installiert sich selbsttätig auf einem System, infiltriert laufende Prozesse, widersteht verschiedenen Antivirus-Programmen und bietet einen http-Proxy-Server. Alle ZeuS-Varianten verewigen sich auf befallenen Systemen mit dem String _SYSTEM_. Sämtliche Versionen der Malware fasste Kaspersky Lab daraufhin zu einer eigenständigen Familie namens Zbot zusammen.
Alle ZeuS-Varianten können auf vielfältige und teilweise recht originelle Weise beliebige Informationen stehlen. Es handelt sich also tatsächlich um einen „universellen“ Code, dessen Flexibilität ihn besonders gefährlich macht. Ebenso wie auch bei Gpcode.ai lässt sich jede neue Ausgabe mit einer völlig anderen Funktionalität ausstatten. Wie beliebt der Schädling damit in der russischen Cyberkriminellen-Szene war, zeigt die Anzahl der Botnetze, die auf seine Technik setzte. Diese basierte dabei auf der Kombination aus Zupacha und ZeuS mit Zunker als Steuerzentrale. Eines der größten Zunker-Botnetze umfasste mehr als 106.000 Rechner und wuchs täglich um mehr als 1500 Maschinen, bevor es entdeckt wurde. Die rasante Verbreitung von Zupacha resultiert auch aus seiner einfachen Konfiguration.