Algunas novedades del ZeuS v2.x

En el post de hoy vamos a contar algún detalle más en el funcionamiento de las nuevas versiones 2.x de ZeuS.

Como ya se ha comentado en numerosas ocasiones, la nueva versión trae varias características diferentes:

• Utiliza nombres de ficheros pseudoaleatorios, frente a los nombres fijos de las versiones 1.x
• No se utiliza la misma carpeta que antes, ahora se "esconde" en nombre_usuario\datos de programa\
• No se oculta el fichero
• Almacena la configuración en el registro
• Permite varias infecciones en el mismo equipo

Además de estas, incluye otras novedades que tratan de dificultar en cierta medida el análisis del mismo.

Durante el proceso de infección, ZeuS recopila cierta información de la máquina, y esta es cifrada y almacenada en el fichero que copia en \datos de programa\.

Entre estos datos se incluyen el nombre de la máquina, versión del sistema operativo, fecha de instalación del mismo, una tabla de permutaciones 00..FF generada de una manera pseudoaleatoria, el nombre y ruta del propio fichero y las claves de registro en la que almacenará información como el fichero de configuración cifrado.

¿Qué se consigue con estos datos?

1. Un fichero resultante de una máquina X no infectará la máquina Y, con lo que analizarlo directamente mediante una sandbox no es viable.
2. El fichero de configuración se almacena cifrado con la clave (tabla de permutaciones) anteriormente indicada, que ha sido generada de forma pseudoaleatoria, no siendo la misma la utilizada para descifrar el fichero de configuración descargado del servidor.

Si bien son dos "trucos", está claro que pueden llegar a complicar el análisis, y es una muestra más de la constante evolución de la familia ZeuS.

Mikel Gastesi
S21sec e-crime

Fuente: S21Sec

Suscríbete a nuestro Boletín