Español | English
rss facebook linkedin Twitter

Nuevo binario de Zeus

La evolución continúa. Hace unos días apareció en escena un nuevo binario de ZeuS, concretamente la versión 1.3.0.26. Se trata de un espécimen que intenta mejorar el grado de ocultamiento en el sistema, como se comentaba en uno de los archivos TODO encontrado hace un tiempo. A modo de análisis superficial se pueden observar las siguientes características:

  • Cuando se ejecuta, en el caso de no estar infectado ya, se copia como siempre en el directorio %SystemRoot%/system32, pero con un nombre diferente en cada ejecución, tomando como información básica del fichero la de %SystemRoot%/system32/ntdll.dll (fechas de creación, último acceso y modificación).
  • Si al ejecutarse encuentra una versión anterior del troyano ésta es borrada del disco, dejando sus archivos de configuración visibles en el próximo reinicio. Para hacerse una idea, una de las últimas versiones con nombre de ejecutable sdra64.exe es la 1.2.12.
  • Aparentemente ya no guarda en disco los archivos de configuración y datos robados, sino que esta información sólo se almacena en memoria.

Aparte de estos cambios importantes, también es remarcable el hecho de que no se use nombre de dominio en la URL del punto de envío de datos, sino que únicamente aparece una IP. Además, en el directorio correspondiente no parece estar el grueso del panel de control, como es normal, sino que únicamente se ve un archivo PHP de poco tamaño, tratándose probablemente de una redirección. Esto es algo que ya habíamos visto anteriormente, pero que podría ser un punto característico en esta nueva versión, siguiendo la línea de ocultar y dificultar al análisis.

Sin embargo, también hemos encontrado muestras cuyo número de versión era 1.3.1.1 pero mantenía el comportamiento de las anteriores (aunque sí eliminaba versiones anteriores): el nombre del ejecutable era sdra64.exe y guardaba los archivos de configuración y datos en disco. Esto puede ser debido a las distintas opciones a la hora de construir los binarios (builder) o a la existencia de diferentes autores.

Como veis, alguna de las recomendaciones dadas en el post sobre detección de ZeuS varían, pero básicamente todas las técnicas siguen siendo válidas a excepción de la localización de los archivos de configuración y datos ocultos, que parecen no existir.

Se trata de un análisis preliminar de este nuevo binario, pero conforme avancemos en nuestros análisis iremos dando más detalles, ¡estad atentos!


Jose Miguel Esparza
S21sec e-crime




English version

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login