Existen varias evidencias que nos pueden hacer pensar que estamos infectados por un ZeuS, en sus diferentes versiones:
- Sistema de archivos
ZeuS deja rastro en el sistema de archivos cuando se encuentra instalado en el sistema, pero oculta y bloquea todos los archivos que crea, de tal forma que un usuario normal no podría verlos ni eliminarlos. La opción para lograr ver estos archivos es el uso de un software antirootkit que muestre archivos ocultos, dejando claro que algo pasa en nuestro equipo.
Ahora mismo el nombre más habitual del binario es sdra64.exe y su directorio de configuración c:\windows\system32\lowsec, pero esto varía según versiones. Ya se hizo mención de los distintos nombres de los archivos de configuración, así que ahora enumeraré la nomenclatura de los binarios que hemos visto:
ntos.exe
oembios.exe
twext.exe
twex.exe
sdra64.exe
bootlist32.exe
userinit32.exe
bootwindows.exe
- Registro de Windows
Otra forma de detectar la infección es a través del registro de Windows. El troyano asegura su ejecución al arrancar el equipo mediante la inclusión de la ruta del binario en la siguiente entrada del registro:
HKLM/SOFTWARE/Microsoft/WindowsNT/Winlogon@Userinit
De esta forma, simplemente abriendo el editor del registro (regedit.exe) podríamos localizar nuestro ZeuS:
- Hooks
- ntdll.dll
- user32.dll
ZeuS necesita de varios hooks en diferentes funciones para poder realizar la inyección de código, captura de credenciales, etc. Estos hooks se situarán en en la mayoría de los ejecutables que se inicien y los más habituales son los siguientes:
NtCreateThread
LdrLoadDll
LdrGetProcedureAddress
NtQueryDirectoryFile
GetClipboardData
TranslateMessage
Para saber si están colocados en nuestros procesos deberemos usar también algún software antirootkit:
- Comportamiento raro en la banca electrónica
Es de esperar que a la gente que usa a diario la banca electrónica les resulte rara la adición de un campo extra pidiendo más credenciales de acceso, como puede ser la clave de firma, o que tras el login se soliciten todas las posiciones de la tarjeta de coordenadas. Quizá sea más complicada la detección para las personas que hacen un uso más ocasional del aplicativo, pero en cualquier caso lo ideal sería consultar con la entidad bancaria cuando se note alguna diferencia o elemento extraño. Este sería un ejemplo antes y después de la inyección de ZeuS:
- Parámetros extra (lado del servidor)
Normalmente al añadir campos adicionales mediante inyección HTML estos parámetros extra viajan también al servidor del banco, que, dependiendo del código inyectado, podrá localizarlos y generar una alerta informando de una posible infección.
- Mutex creados por el troyano
Por último, y como detección de nivel avanzado, se puede comprobar la ejecución del troyano en el sistema gracias a la existencia de varios mutex que éste crea. Se podría entonces realizar una llamada a una función como OpenMutex intentando abrir los mutex típicos de ZeuS y si no da error sería signo de una infección clara. Los mutex localizados hasta el momento son:
__SYSTEM__64AD0625__
_H_64AD0625_
_AVIRA_2109
_LILO_1909
_SOSI_1909
Jose Miguel Esparza
S21sec e-crime
English version
1 comentarios:
Muchas gracias por este articulo publicado.
espermos otro asi, con ejemplos y pantallazos que se entiende a la primera.
saludos
Publicar un comentario en la entrada