Español | English
rss facebook linkedin Twitter

Murofet v2.0 (ZeuS P2P)

Continuando con el post de ayer sobre la campaña de distribución de ZeuS "ACH transaction canceled", se aprovechó para analizar el binario que distribuía.

Se trata de la versión 2.0 de la variante de ZeuS conocida como Murofet. Y que se ha venido a llamar ZeuS P2P, por alguna de las nuevas características incorporadas, que hacen uso de dicha técnica.

Es la versión más evolucionada de todas las aparecidas últimamente, con muchos cambios respecto a la versión original, y la que más se rumorea que pueda provenir del autor original de ZeuS, debido a que para dichos cambios, hace falta una comprensión profunda del mismo.

Esta relación con el Murofet original se puede observar claramente en los ficheros de configuración, diferentes a la versión original de ZeuS e iguales entre sí, con nuevas etiquetas para algunas secciones o, como rasgo fácil de detectar, el delimitador ERCP, tal y como se ve en la siguiente imagen:


En esta variante el troyano utiliza una estructura P2P para la obtención del fichero de configuración, lo cual se trata de una interesante novedad. Para ello, utiliza en primera instancia unas IPs que incorpora, y a las que se conecta por UDP:


Una vez se comunica con los bots pertenecientes a la red P2P, si se detecta que existe una versión más nueva, ésta es descargada, para lo que utiliza TCP y un protocolo propio:


Si la comunicación P2P falla, se pasará a utilizar la generación de dominios, tal y como se hacía en la primera versión de Murofet.

La ruta de almacenamiento, tanto del binario como de las rutas de registro, son similares a las versiones anteriores, pero en esta versión el fichero de configuración es almacenado únicamente con el cifrado RC4, sin la capa XOR, también conocida como VisualEncrypt, algo lógico, ya que no aporta ninguna seguridad.

Del mismo modo, se han encontrado evidencias de que el troyano trata de borrar de memoria la clave de RC4 después de cada uso, en un claro intento de dificultar el hallazgo de la misma.

Finalmente el servidor de C&C mostrado en el fichero de configuración, parece ser falso, en un claro intento de despistar al analista y ganar tiempo.

En resumen, se está ante una versión modificada de ZeuS, con características muy avanzadas, y cambios más orientados a la protección frente al análisis automático del binario y la prevención frente a la destrucción de la infraestructura de red, pero sin cambios notables en cuanto a funcionalidad.


Jozsef Gegeny & Santiago Vicente
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login