Español | English
rss facebook linkedin Twitter

Ampliando la colección: 3alupko

Dentro de la "colección" de especímenes de Paneles de Control que encontramos en el departamento de eCrime, el otro día dimos con un elemento poco habitual: el panel conocido como Zaplupko (o 3alupko). Aunque se trata de un panel de control que ya hemos encontrado en otras ocasiones, vamos a aprovechar la ocasión para presentarlo en el blog.

En este caso la localización del panel fue gracias a una alerta de MSS que saltó en uno de nuestros clientes apuntando a una dirección IP supuestamente sospechosa. Al acceder a la misma, los directorios del servidor web eran públicamente listables, mostrando toda la estructura de directorios. Navegando por el mismo detectamos varios paneles de tipo AdPack, varios binarios (algunos de ellos detectados como el malware "XP Antivirus 2008"), y el panel protagonista de este post: 3alupko.



Las principales características del malware que acompaña a este panel son:

  • Captura de tráfico FTP

  • Captura de tráfico HTTP

  • Captura de tráfico POP/SMTP

  • Captura de formularios (POST/GET)

  • Captura de tráfico certificados

  • Socks Proxy 4/5

  • MiniAV, borra BHO’s y archivos de otro malware presente en la máquina infectada (como wsnpoem)

  • Inyección de código

  • Tareas (ejecutadas por los bots)

  • Builder (nuevas versiones de malware)

  • Estadísticas de Bots


Existe un sitio "oficial" para el panel de control: http://zalupko.info

Comparando el archivo de ayuda que se encuentra en el panel de control detectado con el que se encuentra en el sitio "oficial", parece que el texto es exactamente el mismo. Sin embargo, el documento del "oficial" tiene capturas de pantalla que parecen del panel de control "snake" . De este modo, se establece una relación entre ambos.

Y no sólo eso, sino que el número de contacto de ICQ del autor del malware y su alias (‘shshsh’ o ‘_sh_’) también se ha detectado en foros relacionado con la venta de "snake" (o load.cc).



En definitiva, una muestra más de la interrelación entre este tipo de grupos.

Para finalizar la historia, se pasó la información para la implementación de reglas que eviten la infección en los clientes de MSS y tomamos buena nota del caso para reutilizar el conocimiento obtenido en el servicio de análisis remoto.

Como apunte final, el nombre del panel ya da algunas pistas acerca de su posible origen. En este caso, parece ruso y realizado por algún "script kiddie":

3alupKo = Zalupko = palabra rusa para denominar "pene" vulgarmente

Vicente Díaz
S21sec eCrime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login