Español | English
rss facebook linkedin Twitter

ZeuS: El eslabón perdido

Es un hecho que dentro de la familia ZeuS la versión 2 se está imponiendo, pero últimamente nos hemos encontrado alguna versión que continúa con la rama 1.x, con ciertas características a caballo entre las 1.x y las 2.x, incluso alguna no vista en ninguna versión conocida.

Las versiones concretas de estas muestras, según su propio fichero de configuración son 1.3.7.0 y 1.4.1.3. Veamos las diferencias funcionales más importantes, emparejando cada una con las versiones más conocidas:

- Nombres fijos, como en las 1.x, pero se esconden en %windir%, no en %system%. Los nombres utilizados para el exe, fichero de configuración y fichero de datos son:
  1. c:\windows\host32.exe
  2. c:\windows\jh87uhnoe3\ewf32.nls
  3. c:\windows\jh87uhnoe3\ewfrvbb.nls
  1. c:\windows\svhost32.exe
  2. c:\windows\efee3f32f\brrve.nls
  3. c:\windows\efee3f32f\wrfsf.nls

- La ruta de arranque con el sistema se trata de la misma utilizada por las ramas 1.x (Winlogon), pero es continuamente machacada (como en la 2.x), por lo que para desinfectar la máquina no basta con borrarla y reiniciar la máquina.


- Los ficheros permanecen ocultos (igual a la versión 1.x), imposibilitando el borrado del mismo como sistema de desinfección.

- Como se aprecia en la captura anterior, su nueva casa es services.exe, no winlogon.exe (v1.x)

- El pipe es: "_FISIDISI223122347_"

- Conexión cifrada. Tanto la descarga del fichero de configuración como el acceso al panel de control se realiza bajo conexión SSL. Esto es nuevo, ya que tanto la 1.x como la 2.x realizan una conexión HTTP en claro (enviando los datos cifrados con sus respectivos algoritmos).

- Cambio de cifrado. El cifrado utilizado es el RC4 visto hasta ahora, pero con un pequeño cambio, simplemente modificando el "step". No se utiliza la capa de xor utilizada en las 2.x.


Nos encontramos, por tanto, ante una versión con bastantes cambios respecto a la habitual 1.x. ¿Se seguirá desarrollando la misma o definitivamente todo el mundo optará por la versión 2?

Para terminar, comentar que si alguno se encuentra con una muestra como la descrita, el paso más sencillo para desinfectar la máquina puede ser descargarse alguna herramienta anti-rootkit como gmer, localizar el fichero, realizar un "kill" sobre él para dejarlo inútil, y reiniciar el ordenador. Tras esto las entradas de registro y ficheros podrán ser borradas sin problema alguno.

Mikel Gastesi
S21sec e-crime


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login