13:43
12/5/2011

W kilku miejscach w sieci zaczęły pojawiać się pliki .zip z kodem źródłowym ZeuSa, trojana który swoją sławę zyskał głównie dzięki atakom na bankowość internetową.

ZeuS dla każdego

W ciagu ostatnich miesięcy ZeuS mocno dawał się we znaki także Polakom. Do tej pory sprzedawany za niemałe pieniądze — teraz darmowy. Ktoś udostępnił w sieci jego kod źródłowy w wersji 2.0.8.9:

ZeuS RapidShare Multiupload

ZeuS na RapidShare / Multiupload

Plik .rar z ZeuS-em jest zahasłowany — hasła nietrudno się domyślić. MD5 pliku: 8211578855f12c335021de533f60c8e2.

Z kodu źródłowego ucieszą się wszyscy, poza niestety największą grupą internautów, czyli normalnymi użytkownikami; ludzie zajmujący się bezpieczeństwem będą mogli go poddać analizie, programiści będą mogli poszukać w nim inspiracji, a przestępcy, których do tej pory nie było stać na ZeuSa (lub nie mieli odpowiedniego dojścia) teraz będą mogli zacząć tworzyć swój botnet.

ZeuS kod źródłowy

ZeuS: kod źródłowy

Bardzo jesteśmy ciekawi, o ile procent w najbliższych tygodniach podskoczą słupki obrazujące ataki ZeuS-em…

P.S. A gdyby ktoś chciał nauczyć się jak analizować złośliwe oprogramowanie (także ZeuSa), to zapraszamy na nasze szkolenie z Analizy Malware’u.

Przeczytaj także:


45 komentarzy

Dodaj komentarz
  1. Skoro kod jest teraz publicznie dostępny, to nie będzie łatwiej z Zeusem walczyć ?

    • Ci co z nim walczyli kod już mieli, teraz ma go cała reszta…

    • Myślisz, że firmy antywirusowe nie zakupiły ZeuSa wcześniej?

      Walka z ZeuSem nie jest taka ciężka… Ofiarą głównie bywa osoba, która się nie ma większej wiedzy na temat IT.

  2. Jedno jest pewne, teraz pojawi się wiele klonów ….

    • Jupiter?

  3. a link do niego to gdzie? :(

    • Na zrzucie ekranu??

  4. Nietrudno pisze się razem. To tak a propos literówek.

    Co do samego artykułu. Drastycznego skoku aktywności bym się nie spodziewał, kilka procent. Albo aż kilka procent?

  5. ciekaw jestem na jakiej podstawie autorzy tekstu sa przekonani ze to kod zeusa przeciez kazdy moze wrzucic plik zeus.rar na hosting plikow i rozsiewac ploty :) dziwi mnie tez ze po zgooglowaniu md5 pliku jedynym znalezionym odnosnikiem jest link do niebezpiecznika :)

    • No ale jak poszukasz nie po md5 to plik można ściągnąć i samemu przeanalizować. Także nie rozumiem dlaczego uważasz, że są to “ploty” skoro plik nie jest jakoś wybitnie ukryty i zahasłowany

  6. Przydałaby się znajomość rosyjskiego do commentów :]

  7. Ciekawe, że plik .suo wskazuje na nazwę użytkownika na kompie, który ostatnio uruchamiał projekt. To “jam3s”, a pod adresem http://www.jam3s.net/about-me można przeczytać o niejakim jam3s, który ma “passion for computers and learned about many different aspects of computers in terms of dialup service, networking, software, anti-virus / malware”. To by wskazywało na źródło wycieku. Masa komentarzy jest po rosyjsku (Windowsowe kodowanie Cyrylicy), co IMO jednoznacznie identyfikuje kraj pochodzenia. Autor ewidentnie ma duże doświadczenie z VC++, o czym świadczy kilka używanych przez niego konstrukcji (chociażby używanie for zamiast while dla bezwarunkowych pętli).

    • uzywanie for(;;) zamiast while(1) swiadczy o doswiadczeniu w programowaniu c++?

    • Mówił o VC++. Ten kompilator rzuca warningami przy while(1), bo nie lubi stałych warunków, dlatego autor kodu wykorzystuje for(;;).

    • Chyba właśnie dużego doświadczenia nie ma, skoro nie usunął pliku .suo :)

    • Halan, nie koniecznie ten co wrzucił kod był autorem ;)

    • @Con, @foobar: zarowno while(1) jak i for(;;) mozna znalezc w ksiazkach/tutorialach/na uczelniach, wiec rowniez poczatkujacy moze uzywac for(;;), niezaleznie od kompilatora. Do tego jest to krotsze ;-)

      @Halan: skad zalozenie, ze to plik autora a nie osoby udostepniajacej?

    • Nie chciałbym wam przeszkadzać w iście ciekawym dyskursie na temat while i for, jednakże chciałbym dodać od siebie, że James jest imieniem (jednym z najsławniejszych przedstawicieli jest chociażby James Bond). Nie wiem czy zastanawialiście się nad możliwością, że ten link i ten jam3s z pliku to dwie różne osoby? Dodatkowo chciałbym zaznaczyć, że jam3s.net nie jest jakimś szczególnie trudnym do znalezienia adresem. Oprócz tego chciałbym nadmienić, że osób o imieniu James jest kilkaset milionów, a fanów Jamesa Bonda jeżeli nie proporcjonalnie to nie dużo mnie.

      Aaaa. Dla mniej spostrzegawczych lub raczej powinienem powiedzieć ledwo widzących jam3s to James, gdzie literkę “E” zastąpiono cyferką “3” oraz pierwszą literę zamieniono z dużej na małą (tak, wiem, że moje niepoparte naukowo sugestie można uznać za spisek bądź teorię spiskową).

    • [[@Con, @foobar: zarowno while(1) jak i for(;;) mozna znalezc w ksiazkach/tutorialach/na uczelniach, wiec rowniez poczatkujacy moze uzywac for(;;), niezaleznie od kompilatora. Do tego jest to krotsze ;-)]]

      Ale ze zrozumieniem czytanej treści to chyba masz problem.
      Nikt nie powiedział, że kompilator VC++ ZABRANIA którejś z konstrukcji. Nie robi tego, ale wyświetla OSTRZEŻENIE informujące o stałym warunku (w przypadku while(1)), czego akurat programista może nie lubić. Używa więc for(;;) dla świętego spokoju.

      Na bazie powyższego Con wysnuł wniosek o rodzaju środowiska w którym programował twórca aplikacji.

  8. Duży plus dla Was za to md5;) (choć oczywiście sha* byłby jeszcze milej widziany)

    • Additional information
      MD5 : 8211578855f12c335021de533f60c8e2
      SHA1 : b6cd8910e3479b35d8c485985d747f89f0a35144
      SHA256: 7d9ea6d4a7afa59ffe4a5c8f8aec4d843835d9ef762eba5af8d7b1f995721adc

  9. hah ;d szybko znalazłem ;d ale po rozpakowaniu nie ma zeus.exe, może trzeba skompilowac :>? md5 sie zgadza

    • Nie ma binarki bo to kod źródłowy i to chyba logiczne że trzeba go dopiero skompilować ;)

  10. Można pobrać go bez żadnych konsekwencji?

    • Jak go nie uruchomisz i wywalisz folder bin od razu po wypakowaniu to konsekwencji zero ;)

    • ktostam99…99.. xD
      Haksiory sie znalazły…

  11. imageshack.us/photo/my-images/405/zeuse.jpg/

    data modyfikacji sie nie zgadza, czyzby usunął autor dodania ważne informacje ?
    md5 sie zgadza.

  12. Czy czytelnicy tego portalu nie mieli już wcześniej okazji pobrać zeusa z evilll.cc czy czegoś tam?

  13. Podejrzewam że najbardziej skorzystają na tym script kiddiots, bo napalą się posiadanymi informacjami o Zeusie – będą chcieli po prostu zawładnąć światem ? ]:-> (pytanie czy będą umieli to wykorzystać ? :X)

    A tak naprawdę, to wydaję mi się że służby specjalne (policja, wywiady, wojsko etc.) na pewno nie śpią w takiej sytuacji… ;>

  14. Teraz wystarczy czekać na port Linuksowy… Kto wie, może nawet się skompiluje pod gcc?

  15. @gbm: Właśnie smutne jest to, że w takich sytuacjach śpią…

  16. z podziekowaniem :)

  17. Przedstawiony zrzut ekranu z katalogu z rozpakowanym zeusem nie pozostaje w relacji 1:1 z tym, co otrzymamy po rozpakowaniu pliku sciagnietego pliku rar. Jedna z roznic, to braku folderu make i kilku ciekawych plikow, ktore sa w ‘pelnej wersji’ paczki z kodem.

  18. kod zeusa jest na necie dostępny gdzieś od ponad miesiąca , gratuluję refleksu :)

    • Kod ZeuSa jest dostępny już długo ponad miesiąc. Tylko nie sprecyzowałeś o którą wersję Tobie chodzi.

  19. @jurek ogórek: Jest tak jak pisze foobar. @Halan: Plik .sou pochodzi od ostatniego użytkownika, a nie od autora kodu.

  20. No, niestety linki ze screenów już nie hulają, trzeba szukać głębiej

    • we need to go deeper.

    • Linki pozostają w głębokim ukryciu ;)

  21. W tym archiwum brakuje kilku plików. Znalazłem arch o trochę większym rozmiarze.

  22. Czy pojawi sie artykul o GSM ?

  23. Widać że to stara szkoła
    Ostatni raz widziałem przedrostek register w stosunku do zmiennych
    w MyDoomie z 2000 roku i to w czystym C
    Żaden n00b wykluty po 2000 roku nie śmie tego użyć
    bo mu pan od informy wpajał że kompilator wie lepiej ;>

  24. nie dziala na Ubuntu ! Ja chce jakiegoś wirusa, trojana, spyware lub cokolwiek !! :)

    • doczytałeś, że jest planowana wersja na Linuksa?

  25. Unfortunately, the link you have clicked is not available.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: