Como ya sabemos, las actividades delictivas propuestas por la
botnet ZeuS a través de su familia de troyanos y a lo largo de ya dos años de gozar con la categorización In-the-Wild, se impone frente a
otras actividades crimeware con un importante volumen de variantes que aún hoy siguen reclutando zombis proponiendo, como parte de su estrategia de engaño, nuevas alternativas.
En esta oportunidad, y como en otras, una de sus variantes se está diseminando por correo electrónico mostrando un mensaje que alude a la actualización manual del certificado
SSL. El mensaje dice así:
"On October 16, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour. The changes will concern security, reliability and performance of mail service and the system as a whole. For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure. This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all.[Enlace malicioso]Thank you in advance for your attention to this matter and sorry for possible inconveniences.System Administrator"
Como es habitual en
ZeuS, el ejemplar analizado presenta un patrón característico en la actualidad del malware, que se centra en la
fusión de actividades propias de diferentes códigos maliciosos.
En este caso, posee un componente
keylogger encargado de recolectar la información privada de los usuarios (nombres de usuarios, contraseñas, números de tarjetas de crédito, credenciales de acceso al Home-Banking) que utilizan la computadora comprometida. También establece una conexión con
http://hostz-150909.com/zed1/table.bin para descargar su archivo de configuración.
Por otro lado, implanta en la zombi un
backdoor a través del cual el atacante accede al sistema víctima sin demasiados inconvenientes; además de ejecutar actividades
rootkit escondiendo los archivos maliciosos en una carpeta llamada "
lowsec" (también oculta) que se crea en la carpeta de sistema. Los archivos son los siguientes:
- %System%\lowsec\local.ds
- %System%\lowsec\user.ds
- %System%\lowsec\user.ds.lll
Todo controlado por el habitual archivo "
sdra64.exe" característico de
ZeuS que también crea en la carpeta de sistema; y a través de un módulo de auto-defensa intenta terminar los procesos del programa antivirus y del firewall.
Por suerte esta variante de
ZeuS posee un índice de detección alto; sin embargo, estas acciones maliciosas son comunes de toda la familia de esta amenaza.
Según TrendMicro, esta nueva maniobra de ZeuS a través del correo estaría dirigida a los empleados de determinadas compañías; y a juzgar por la firma del mensaje (System Administrator) y que alude a una actualización manual del certificado SSL, el círculo de Ingeniería Social parece cerrarse.
Sin embargo, lo preocupante de todo esto, independientemente de sus maniobras y métodos de propagación, es la constancia que
ZeuS sigue manteniendo a lo largo del tiempo desde la liberación de su código en el 2007 y de las distintas versiones, aunque antiguas, que pueden ser conseguidas sin demasiados esfuerzos.
Su creación fue motivada por una serie de proyectos en materia de seguridad cuya intención es canalizarlos a través de ese canal pero al mismo tiempo proyectarlo hacia todos aquellos que deseen colaborar.
Russian Federation Netplace
Luxembourg Root
Rotterdam Interactive 3d
Ukraine Pe Sergey Demin
Cyprus Nicosia Riccom Ltd
Canada Thornhill Rcp.net
Israel Haifa Barak I.t.c
Telos Solutions Ltd
Athens 
Gunzenhausen Hetzner
Sweden Stockholm Serverconnect I Norrland
Belize Financial Company Titan Ltd 
Turkey Ankara Netfactor Telekom Ve Teknoloji Hiz.as 
