Español | English
rss facebook linkedin Twitter

¿Probando tu variante de ZeuS?


Ya hace un tiempo que se filtró el código fuente de ZeuS, y hemos visto variantes como Ice-IX o Citadel siendo usados de manera masiva, pero de cuando en cuando seguimos encontrando alguna muestra basada en este código filtrado.

En este caso, nos hemos topado con una muestra usada como prueba, una prueba bastante reciente ya que la fecha de compilación del binario desempaquetado indica el 9 de abril.

Es curioso ver cómo envía información de debug a un servidor que ha sido "hardcodeado", y cuyo path es "/test/debug.php". Por ejemplo, una vez infectado, vemos como cifra esta información con RC4:

[16:59:13] TC=0000000008, PID=0448(0x01C0), TID=1324(0x052C), LE=0(0x0), F=initUserData, FL=C:\Zeus projects\last\bot_chela_antirapport_with_x (512)..INFO: coreData.currentUser.id="0x2053D9C1", coreData.currentUser.sessionId="0"
Este troyano añade algunas funcionalidades no presentes en ZeuS, como pueden ser la detección de sandbox, de software antivirus o software antimalware. Por ejemplo, es capaz detectar el uso de DeepFreeze o Wireshark, o alguna información "interna" de Sandboxie, Anubis o el sandbox Camas de Comodo. Los patrones buscados se encuentran cifrados (del mismo modo que el cifrado habitual de strings en ZeuS), pero las referencias a las deteciones no, y se puede intuir el comportamiento únicamente mirando a estos strings.

Parece que tampoco quiere compartir la máquina con otro malware, y algunos strings indican que intenta limpiar otras infecciones, como pueden ser las de ZeusV2 o Spyeye:
    SpyEye Kill Mutex Name: %hs                                   
    SpyEye registry value: %s, path: %s                               

    SpyEyeRemove

    Zeus v2 deleted                             

    zeusV2Remove                                

    Zeus v2 deleted
Por supuesto, el nombre del proyecto también es más que interesante ("zeus projects", "antirapport", "with x64", "chela"??):
C:\Zeus projects\last\bot_chela_antirapport_with_x64\source\client\...
Otro ejemplo claro de comentarios que nos indican el comportamiento lo encontramos en lo referente a la interacción con el firewall de windows (windowsfirewall.cpp):
WindowsFirewall::FirewallAddExclusions"
"Added exclusion for %s"

"Exclusion for %s is re-enabled"

"Exclusion for %s is already in the list"

"Firewall DONE"
Y hay muchos más:
In IE!
I'm a installer.                                   

I'm a loader. 

Current process started from system account. Installing to all users.

Malware report to server: %d                                   

MalwareDelete::_removeAll 

Accepted client connection.                                    

Accepted new conection from bot (BotID: %s, IP: %s).                               
Accepted new conection from client (IP: %s), but bot not connected! Disconnecting client!

...
  
Nada más que decir, solo dar las gracias al desarrollador por (al menos por esta vez) hacer nuestro trabajo un poco más sencillo ;)

Mikel Gastesi
S21sec ecrime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login