Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 70 reacties
Submitter: himlims_

De broncode van het Zeus-malwarebouwpakket is uitgelekt. Normaliter wordt de malwarekit te koop aangeboden voor prijzen die kunnen oplopen tot 10.000 dollar, maar de source code is nu op zeker drie verschillende websites te vinden.

De Deense beveiligingsfirma CSIS Security Group ontdekte dat de broncode van de beruchte Zeus-toolkit voor het bouwen van malware op diverse sites is aangetroffen. Daarmee is de gebruikte malwarecode voor iedereen inzichtelijk en kan er lering worden getrokken uit de werking van de diverse onderdelen van het pakket. Het risico bestaat echter ook dat kwaadwillenden op basis van de Zeus-toolkit nieuwe bouwpakketten ontwikkelen.

Tot nu toe werd het Zeus-zelfbouwpakket binnen een klein en gesloten circuit verhandeld voor het bouwen van vooral trojans die wachtwoorden buitmaken en via botnets aangestuurd kunnen worden. De prijzen voor Zeus zouden variëren van 2000 tot 10.000 dollar. Voor de duurste versies werd technische ondersteuning aangeboden, terwijl sommige versies ook in staat zouden zijn om het two-factor-authenticatiesysteem te omzeilen dat sommige banken bij telebankieren inzetten. Daarnaast weten sommige Zeus-varianten zich goed verborgen te houden.

Nu de broncode vrij verkrijgbaar is, zullen de oorspronkelijke ontwikkelaars vermoedelijk geen inkomsten meer kunnen genereren uit de verkoop van Zeus. CSIS vreest echter dat criminelen in de komende tijd het internet zullen overspoelen met malware die door Zeus of varianten daarvan is gebouwd.

Moderatie-faq Wijzig weergave

Reacties (70)

Dit is slecht nieuws.

De antivirus makers schieten hier weinig mee op, zelfs als ze de broncode nog niet hadden.
Het is helaas relatief eenvoudig om met bepaalde programma's je source code vrijwel onherkenbaar te verminken, en toch de functionaliteit te behouden. Zoek maar eens op Fully Undetectable (FUD). Fully Undetectable betekent dus (al is het vaak voor een bepaalde tijd) Fully Undetectable voor elke malware / virusscanner.
Welkom scriptkiddies :|

Interessant leesvoer over FUD:

http://interestingmalware.blogspot.com/
http://www.techkranti.com...lly-undetectable-fud.html

[Reactie gewijzigd door scorpionv op 11 mei 2011 10:27]

En daar mag een antivirus programma dan ook best een extra waarschuwing over geven :)
Natuurlijk is dat dan niet altijd terecht, maar je wordt dan wel even expliciet gewaarschuwd.

[Reactie gewijzigd door SWINX op 11 mei 2011 11:04]

Je hebt gelijk dat dit virusmakers niet helpt met het maken van patronen om virussen te herkennen, maar ik denk dat ze vooral in de werking geïnteresseerd zijn.

Edit: begreep je bericht eerst verkeerd.

[Reactie gewijzigd door gamepower2005 op 11 mei 2011 11:10]

Dit is dus een groot probleem in de beveiliging van het internet, omdat nu iedereen makkelijk aan een tool kan komen om Malware te bouwen, zelfs om bankgegevens te acherhalen.

Dit zal tevens ook goed zijn voor de economie, aangezien hierdoor veel extra beveiliging bij een gemiddeld netwerk aan te pas komt, hierdoor kunne IT bedrijven weer extra klussen werven
Het internet hoeft ook helemaal niet beveiligd te worden!

Je moet je lokale netwerk en je PC en Notebooks en servers beveiligen.

Iedereen die een apparaat aan het internet knoopt dient geinformeerd te worden van de mogelijke risico's en gewezen te worden op hun verantwoordelijkheid die ze hebben om te voorkomen dat zijzelf, alsmede de door hen aan internet gekoppelde apparaten, mee werken, al dan niet onvrijwillig, aan het verspreiden en/of instand houden van ongewenste zaken zoals malware.

Zolang een particulier, een fabrikant (van OS, anti-virus pakketten, mail, browsers enz) niet aansprakelijk gehouden en/of gestraft worden op een manier die ze raakt (binnen redelijkheid van de aard van de overtreding en de mate waarin e.e.a bewezen kan worden natuurlijk) zal er ook geen stimulans zijn om besturingssystemen en programma's up-to-date te houden en blijft het dweilen met de kraan open.

Zonder grondige motivatie of overtuiging veranderd er structureel niets.
Iedereen die een apparaat aan het internet knoopt dient geinformeerd te worden van de mogelijke risico's en gewezen te worden op hun verantwoordelijkheid die ze hebben om te voorkomen dat zijzelf, alsmede de door hen aan internet gekoppelde apparaten, mee werken, al dan niet onvrijwillig, aan het verspreiden en/of instand houden van ongewenste zaken zoals malware.
Ik heb hier ook al eens bij stilgestaan. Zoals je zelf al aangeeft heeft dit alleen kans van slagen wanneer er iemand aansprakelijk kan worden gehouden en/of wordt gestraft.

Wat nu als een provider als 'host' een van zijn 'clients' in quarantaine plaatst wanneer deze SPAM verstuurt of bijvoorbeeld deelneemt aan een ddos aanval. Bij quarantaine kan een gebruiker alleen op een portal van de provider waar instructies staan hoe men uit quarantaine kan worden gehaald. Op deze manier leg je 'iets' meer verantwoording bij de gebruiker waarbij het gevolg ook een positieve invloed heeft op alle overige gebruikers.
Xs4all doet al precies wat jij zegt. Je ziet een pagina met wat info en je kunt enkel nog bij de xs4all webmail. Bij een klant mogen ervaren. Bleek uiteindelijk 1 werkstation te zijn die lekker stond te spammen. Opgeschoond, xs4all gemaild en uiteindelijk weer internet :)
Klinkt super! Nu nog verplichten vanuit de overheid en het internet is al een stuk schoner.
Ik heb beperkte programmeer kennis en kan nu al stellen dat ik zeker weet dat ik niet zal begrijpen hoe het exact werkt ;) Dr zullen maar een beperkt aantal personen zijn die hier ook maar iets mee kunnen doen en een nog kleiner percentage daarvan zal dr ook daadwerkelijk iets mee doen

Verder is het niet spannend... Dit gebeurd onwijs vaak (bij OSx, Linux en Windows), nu kan Apple weer lekker gaan patchen :)

[Reactie gewijzigd door Mellow Jack op 11 mei 2011 10:31]

Dat is nu juist een van de kernpunten van Zeus; je kan er nare dingen mee doen zonder dat je een wizzkid hoeft te zijn. Een weekendje lang ongebruikelijke sites doorlezen en je snapt genoeg om iemands pc naar de volgende wereld te helpen (plat gezegd).

Gelukkig is het hebben van een virus niet het grote probleem; het "afleveren" van een virus is gevaarlijk. Je moet ofwel een site hacken, een eigen site hosten (aka. je bent opspoorbaar) of heel veel mensen emails met bijlages gaan sturen.

Daarna moeten veel mensen die sites bezoeken, en jouw zooi downloaden, óf er moeten heel veel mensen hun bijlages gaan uitvoeren.

Enige makkelijke optie zou dan nog bittorrent zijn... daar zou ik dus eventjes mee uitkijken als je games binnen gaat halen.

Bottomline; de sourcecode an sich is geen ramp, en zwerven al genoeg virii soucecodes rond. Zolang crackers dit maar niet als een gek gaan verspreiden omdat ze hun kans schoon zien.
Makkelijk zelf malware maken zal wel meevallen hoor, je moet toch nog redelijk wat kennis hebben om wat te kunnen bouwen denk ik zo.

Ik denk dat dit niet goed is voor de economie. De extra kosten die veel bedrijven hierdoor zullen hebben (niet alleen antivirus aanschaffen maar ook beheerders en tijdverlies in geval van storingen) zullen hoger zijn dan de paar extra banen.
Het is beter voor de economie als er meer mensen echt nuttig bezig zijn ipv puin ruimen door dit soort dingen.
De drempel wordt natuurlijk wel een stuk lager. Omdat de broncode nu op straat ligt, zal het voor degenen met een goede virusscanner niet zo'n probleem zijn. Maar de pc's die dat ontberen krijgen waarschijnlijk nog veel meer malware voor de kiezen.
Met een goede virusscanner? De clue van deze tools is dat je je eigen custom malware kunt bouwen (wellicht is 'genereren' hier een betere term) zodat elk stukje malware een andere checksum heeft. Deze vallen dus vrolijk door alle virusscanners heen, behalve als de werking van je malware ergens in het OS iets triggert.
Er wordt gesproken over een opkomende dreiging door het uitlekken van de sourcecode, maar je kunt het ook omdraaien. Nu kunnen de software vendors eindelijk eens zien hoe Zeus precies werkt en van welke zwakheden misbruik wordt gemaakt. Als ze die punten fixen zijn alleen mensen met verouderde software nog vatbaar voor deze exploits (het zijn dan geen 0-days meer).
En, last but not least, de *** die deze tool hebben gebouwd zitten nu zonder inkomsten. De vraag is alleen voor hoelang.

[Reactie gewijzigd door Rick2910 op 11 mei 2011 11:49]

De tijd dat scanners op simpele checksums werkten zit al ver achter ons. Vandaag doet men meerdere analyses waaronder de manier waarop software zich gedraagd binnen het OS.
Ach is zoiets niet je eigen schuld? Ik vind het ene beetje raar om te gaan klagen over malware (of virussen) wanneer je je systeem niet geupdate houd. Het is niet zo dat je moet betalen voor simpele anti virus scanners :S

Zelfde als klagen dat je benzine op is wanneer je niet hebt getankt... Het zal een tijd goed gaan maar dr komt een moment dat je de consequenties moet accepteren en dan kan je eigenlijk alleen boos worden op jezelf
Dat is niet helemaal waar, ik zat laatst op een of andere telefoonsite en toen (zonder dat ik nog iets had aangeklikt) installeerde het zogenaamde Vista Total Security zich: een tool die alle .exe files blokkeert en internetten onmogelijk maakt. De enige oplossing: het uitgebreide pakket kopen.

Ik heb de malware er wel af gekregen, maar mijn computer is goed beveiligd en altijd volledig up-to-date!
tja, als je de deur zo ver openzet, moet je niet raar kijken als er een inbreker binnenkomt. Leg mij eens uit hoe een installatie vanuit een browser zonder enige user input plaatsvinden?
Elke Pwn2Own bijeenkomst laat weer nieuwe methodes zien om dit voor mekaar te krijgen. Check ook de berichten van VUPEN recent, die kregen hetzelfde voor elkaar met Safari en Chrome. Dit zijn allemaal browser-exploits waar de gebruiker a) niks aan kan doen en b) er geen actie van de gebruiker vereist is, anders dan een geïnfecteerde site bezoeken. En stel je voor dat een grote ad-provider (als AdWords) ooit wordt geïnfecteerd op zo'n manier... dan zijn de gevolgen niet te overzien.

[Reactie gewijzigd door Rick2910 op 11 mei 2011 11:39]

Sorry hoor maar als je je PC behoorlijk configureert kan geen ENKEL stuk software zich zomaar beginnen installeren...ik mag graag vloeken op dat UAC van Microsoft, maar tegen dit soort rommel werkt het perfect...

Ik ben het helemaal met de stelling eens dat het je eigen schuld is als je geinfecteerd raakt, ik heb nog geen onweerlegbaar bewijs gezien dat het tegenovergestelde bewijst.
@Cronax: Sorry hoor, maar ook UAC en sudo zijn exploits voor zodat er geen userinteractie bij komt kijken.. Als jij dus denkt dat een goed geconfigureerde PC geen enkel stuk software zomaar laat installeren dan ben je helaas behoorlijk naief, zero-day exploits worden bijna elke dag wel gevonden, op ALLE platformen dus niet alleen Windows.
Daarom ook dat een combinatie van technieken belangrijk is, inclusief automatische detectie van buffer overflows en dergelijke...
Maar je bent het waarschijnlijk wel met mij eens dat het niet nodig zou moeten zijn.
Het feit dat virussen en malware bestaat maakt het nog niet normaal

De vergelijking tussen benzine en anti virus scanners slaat naar mijn mening volledig de plank mis.
Tanken is een noodzakelijk iets wat wordt veroorzaakt door de manier waarop de auto werkt. Een antivirus is alleen noodzakelijk door toedoen van mensen.
een virus is geen gevolg van internet, de noodzaak voor benzine is wel een gevolg van de verbrandingsmotor ;)

Je kan niet boos worden op een ander omdat jouw benzine op is.
Maar je kan wel boos worden op een ander omdat hij het noodzakelijk acht om virussen of malware te verspreiden.

On topic:
Ik ben bang dat er vrij spoedig veel meer malware gaat verschijnen. Geef de mensen met beperktere kennis maar toch kwaadwillend meer mogelijkheden om een complexere malware te ontwikkelen.
Ben benieuwd wanneer de eerste meldingen komen van nieuwe complexere malware
Beveiliging is niet goed voor de economie in zijn geheel: het drijft enkel de kosten op zonder dat er een beter produkt voor in de plaats komt.
Ok, weetniet of ik hier nu blij mee moet zijn of niet. de virusdefinities van de av software kunnen misschien aangepast worden nu ze de opbouw van de malware weten die met deze "tool" is gemaakt. maar er zullen ook zat mensen zijn die zelf hun trojans enzo gaan maken hiermee... ben benieuwd waar dat dit heen gaat.
Ik snap overigens niet dat dit soort software verkocht mag worden, aangezien het bedoeld is om mee te hacken en virussen te maken, wat verboden is...

[Reactie gewijzigd door _-SaVaGe-_ op 11 mei 2011 10:11]

Ik zou er toch ook van uit gaan dat de fabrikanten van software die malware proberen te bestrijden hier iets uit kunnen bijleren.

In eerste instantie weten ze nu hoe het werkt en kunnen ze zich er in principe perfect tegen beveiligen.

Ook kunnen ze zich een beetje beveiligen tegen varianten omdat deze toch op dezelfde code zullen gebasseerd zijn..

aan de andere kant lijkt het mij dan ook weer gek, moest zo'n bedrijf zelf niet even de broncode aankopen om er toch inzage tot te hebben..
Ik weet het niet, daarmee financieer je natuurlijk wel het maken van de volgende versie van zo'n tool. Ik zie er meer in dat zulke mensen gewoon een computerverbod+huisarrest/gevangenisstraf krijgen voor een bepaalde periode.
Nee, je koopt een programma (exe, dus niet reverse engeneerable) dat voor jou nieuwe exe's maakt die jij vervolgens kan gaan verspreiden.

Je krijgt dus nooit zomaar de source code in handen.
Elke .exe is reverse engineerable met dissasemblers, decompilers, debuggers, etc. -- en antivirus-specialisten hebben daar ook meer dan genoeg ervaring mee.

[Reactie gewijzigd door Filip Maurits op 12 mei 2011 13:32]

Ok, weetniet of ik hier nu blij mee moet zijn of niet. de virusdefinities van de av software kunnen misschien aangepast worden nu ze de opbouw van de malware weten. maar er zullen ook zat mensen zijn die zelf hun trojans enzo gaan maken hiermee... ben benieuwd waar dat dit heen gaat.
Ik snap overigens niet dat dit soort software verkocht mag worden, aangezien het bedoeld is om mee te hacken en virussen te maken, wat verboden is...
Het wordt verkocht op de zwarte markt, zoals in Nederland de heroine.. speed, cocaine wordt verkocht... je zult het echt niet in de buurtsuper vinden
Ik veronderstel dat je dit pakket niet aankoopt met een BTW-nummer en een factuur op naam met benkoverschrijving of paypal. Ik veronderstel dat het met zwart geld in het zwarte circuit gebeurt :) (bv Western Union money transfer).
Anders zou de boel snel opgerold worden.
hacken is niet verboden (cracken wel), en ik betwijfel of een virus maken wel verboden is zolang je het niet verpreid.
What comes around goes around... Vind ik wel toepasselijk in dit geval.
Je maakt een pakketje om schade toe te brengen aan anderen en je wordt zelf slachtoffer van piraterij.

Blij ben ik in ieder geval niet met het uitlekken hiervan, want er zullen weer legio nitwits aan de slag gaan met dit pakketje.
Haal hacken en piratery niet door elkaar.

En als je met piratery Downloaden beodeld... is er een heel groot verschil,

Hacken is in nederland illegaal, downloaden niet
Hacken is in nederland illegaal, downloaden niet
downloaden is zo illigaal als het maar kan als het om software gaat die een commercieele licentie hebben. Opensource en freeware, alsmede shareware kun je zonder problemen downloaden, maar bijvoorbeeld Windows 7 Ultimate downloaden is illigaal, en strafbaar.
Uploaden is illegaal. Downloaden niet.
Downloaden van software is in Nederland wel degelijk illegaal. De thuiskopiewet geldt alleen voor films en muziek, deze kan je (op dit moment tenminste nog wel) legaal downloaden. Uploaden / verspreiden is inderdaad altijd illegaal.
Aan arjankoole's verhaal valt niets af te dingen; aan dat van adamvansanten wel.

Het verhaal met downloaden én uploaden van software is namelijk dat het niet per definitie verboden is; áls de makers jou daar toestemming voor hebben verleend dán mag het. Hetzelfde geldt trouwens voor het uploaden van alle andere type bestanden.

ontopic:
Ik zou de broncode van dit bestand wel eens willen inzien. Het zou mij zeker kunnen helpen als ik er over enkele weken of maanden zelf tegen moet vechten. (Eén keer raden wie de sigaar is als iemand anders in mijn omgeving een virus oploopt?) Dat is gesteld dat ik de code ook begrijp, uiteraard

[Reactie gewijzigd door mischaatje2 op 11 mei 2011 11:06]

Hacken is niet illegaal in Nederland (in bijna geen enkel land). Of bedoel je computer vredebreuk?
Is hacken niet altijd illegaal? Lijkt mij toch dat je als iemand anders voordoen niet bij het rijtje legaal hoord.
Nee hacken is lang niet altijd illegaal.
Je als iemand anders voordoen is wel een heel beperkte (en onjuiste) definitie van hacken.
http://nl.wikipedia.org/wiki/Hacken

Daar bij zal hacken op zich niet illegaal zijn, alleen het gebruik van de hack kan illegaal zijn.
Het downloaden van software, zonder dat je beschikt over een geldige licentie is in NL ILLEGAAL.
Eigenlijk hollen ze dus achter de feiten aan. Ze hebben de broncode op minstens 3 websites aangetroffen, wat betekent dat de broncode al een tijdje geleden utlekte of beschikbaar was. Dat betekent ook dat het risico waarover men praat er niet is as of today, maar waarschijnlijk al veel langer.
Het had interessanter geweest als CSIS Security Group zelf de broncode had gevonden of gekocht via een infiltrant. Dan was de broncode vanaf vandaag beschikbaar en begonnen beveiligingsbedrijven en andere malwareschrijvers op dezelfde moment. Nu hebben beveiligingsbedrijven a priori al een achterstand...

Kan je beveiliging met een token (Vasco Card Reader) omzeilen? Of wat is een two-factor authenticatiesysteem?
Ze hebben de broncode op minstens 3 websites aangetroffen, wat betekent dat de broncode al een tijdje geleden utlekte of beschikbaar was.
Want de broncode van een website naar een andere website kopiëren kost... vijf minuten? Natuurlijk wordt dit nu meteen door Jan en alleman in het dubieuze circuit gehost, volgens mij kan je daar niet uit concluderen dat het al een hele tijd op straat ligt.
@ Cafe Del Mar

De beveiligingsbedrijven hebben nagenoeg altijd een achterstand op de virus/trojan/malware schrijvers. Wanneer jij een nieuwe trojan codeert ga je deze niet 'uitrollen' wanneer deze niet 100% FUD is. Doe je dit wel ben je een amateur of voer je een gerichte aanval uit waarbij de beveiliging van het doelwit bekend is.

[Reactie gewijzigd door densoN op 11 mei 2011 15:48]

Zoals de laatste allinia al aangeeft, zal de komende tijd het internet wel overspoeld worden met nieuwe malware..

Had toch liever gezien dat dit pakket binnen een gesloten circuit was gebleven. Nu kan jan en alleman trojans gaan ontwikkelen met de daarvoor bestemde software zonder hier zelf voor in de buidel te tasten.
Waarschijnlijk niet, het is geen worm, het heeft dus geen self replicating eigenschappen. De aanvaller moet zelf zijn virus zien te verspreiden.
Ja maar dat is tegenwoordig ook niet meer moeilijk. Ze kunnen het gewoon weer in een of andere "crack" van een nieuw spel stoppen. Er zijn genoeg mensen die dat gewoon gebruiken zonder er verder bij na te denken.
OHOH, FOUTE BOEL! Dit kan zoals het artikel al zegt, inderdaad een vloedgolf van malware en virussen betekenen. ik weet niet hoe veel mensen in internetland verstand hebben van de zeus toolkit, maar het kan betekenen dat meer dan een miljoen hackers gratis toegang kunnen krijgen tot een van de beruchtste toolkits die er zijn. het voordeel echter is dat als de antivirus providers deze source code te pakken kunnen krijgen, ze zichzelf kunnen beschermen tegen alle gevaarlijke malware die in productie zouden kunnen zijn.
Het grote gevaar is nu dat ipv hackers die er dik voor betaald hebben een malware bouwen voor rabobank/ing enz, dat je nu mensen hebt die een malware speciaal voor tweakers.net bouwen, het economische belang van de hackers is weg

gevolg, veel meer relatief kleine sites waar weinig te halen valt zullen worden aangevallen op deze manier wat resulteert in een hele hoop gestolen prive gegevens
Kunnen we wel eens kijken of de makers fatsoenlijk konden programmeren.

In vroegere virussen waren het nog wel eens de bug die voor de '(bij)werking' zorgden.

Het zal wel niet het werk zijn van en bleke 14 jarige waar de media zo dol op zijn ;-)
Ik kan de zeus nog niet vinden in de meuktracker? :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True