Zeus Botnet. Masiva propagación de su troyano. Primera parte
Hablar de ataques de Phishing o kits a esta altura de la historia no es ninguna novedad, como tampoco lo es hablar de malware y sus técnicas de infección, cada vez más sofisticadas y cada vez más agresivas; sin embargo la diseminación y casos de infección y fraudes no cesa, incluso, en la actualidad es un negocio, aparentemente muy redituable para quienes están detrás.
Zeus (también conocido como Zbot o wsnpoem), precisamente entra de lleno en la categoría de lo fraudulento y dañino. Se trata de un troyano diseñado básicamente para reclutar zombies PCs y lanzar ataques de phishing, a entidades financieras, bancarias, sitios de redes sociales, robar datos de autenticación de correo electrónico, cuentas FTP, etc., combinando técnicas de scripting, exploit, entre otras.
66.113.136.225 powelldirects.com/awstats/stat1/main .exe
79.135.179.180 anytimeshopforall.com/new_dir/ldr .exe
79.135.187.112 newprogress.info/tmp/ldr .exe
81.176.123.220 light-money.cn/files/ldr .exe
81.176.123.221 conexnet.cn/nuc/exe .php
91.207.117.174 4utraffic.info/tmp/ldr .exe
118.219.232.248 moqawama.co.cc/zv/cfg .bin
208.113.161.124 ebayhelp.co.il/4ebay/5e .txt
115.126.5.50 1.google-credit.cn/q83wi/ld46 .exe
124.217.242.80 custom4all.info/syst/grepko .exe
193.138.172.5 upd-windows-microsoft.cn/zv/ldr .exe
195.2.253.137 mega-3k.com/krot22/rege .exe
195.2.253.186 firebit32.com/mako22/43r .exe
195.55.174.140 www.provis.es/imagenes/menue .exe
201.235.253.22 www.elsanto-disco.com.ar/.z/zeus .exe
211.95.79.6 horobl.cn/dll/cr .txt
213.205.40.169 www.saiprogetti.it/r .exe
216.246.91.49 d1gix.net/forum/load .exe
216.246.91.49 www.commerceonline-service.net/chat/cfg .ini
218.93.202.114 marketingsoluchion.biz/fkn/config .bin
218.93.205.242 cosmosi.ru/lsass .exe
220.196.59.18 infinitilancer.cn/forum/load .php?id=861&spl=7
220.196.59.18 nepaxek-domain.cn/stores/hello .world
220.196.59.18 nepaxek-domain.cn/stores/urko .exe
58.65.236.129 userzeus.com/zw/cfg .bin
58.65.236.129 verified09.com/ldr .exe
58.65.236.129 wcontact.cn/zsadmin/ldr .exe
58.65.237.153 arsofcaribion.com/lder/ldr .exe
67.210.124.90 academcity.com/ic/6e .txt
67.210.124.90 academcity.com/ic/6e .txt
68.180.151.74 emailsupports.com/Info .exe
68.180.151.74 emailsupports.com/z/setup .ini
68.180.151.74 mypage12.com/control/cfg .bin
72.167.232.78 powelldirects.com/awstats/usbtn/conf .sts
72.233.79.18 i-love-porno.com/z/ldr .exe
72.9.154.58 daimtraders.com/vateranery/imgpe .bin
74.86.115.14 arinina.com/cfg/ntdrv32 .exe
77.222.40.33 chixxxa.com/tru/ldr .exe
78.159.96.95 zonephp.com/us/us1 .exe
85.12.197.41 danacompany.ru/css/cs .bin
85.17.109.10 sjfdhw395t.com/newzz/cfg .bin
79.135.187.112 newprogress.info/tmp/ldr .exe
81.176.123.220 light-money.cn/files/ldr .exe
81.176.123.221 conexnet.cn/nuc/exe .php
91.207.117.174 4utraffic.info/tmp/ldr .exe
118.219.232.248 moqawama.co.cc/zv/cfg .bin
208.113.161.124 ebayhelp.co.il/4ebay/5e .txt
115.126.5.50 1.google-credit.cn/q83wi/ld46 .exe
124.217.242.80 custom4all.info/syst/grepko .exe
193.138.172.5 upd-windows-microsoft.cn/zv/ldr .exe
195.2.253.137 mega-3k.com/krot22/rege .exe
195.2.253.186 firebit32.com/mako22/43r .exe
195.55.174.140 www.provis.es/imagenes/menue .exe
201.235.253.22 www.elsanto-disco.com.ar/.z/zeus .exe
211.95.79.6 horobl.cn/dll/cr .txt
213.205.40.169 www.saiprogetti.it/r .exe
216.246.91.49 d1gix.net/forum/load .exe
216.246.91.49 www.commerceonline-service.net/chat/cfg .ini
218.93.202.114 marketingsoluchion.biz/fkn/config .bin
218.93.205.242 cosmosi.ru/lsass .exe
220.196.59.18 infinitilancer.cn/forum/load .php?id=861&spl=7
220.196.59.18 nepaxek-domain.cn/stores/hello .world
220.196.59.18 nepaxek-domain.cn/stores/urko .exe
58.65.236.129 userzeus.com/zw/cfg .bin
58.65.236.129 verified09.com/ldr .exe
58.65.236.129 wcontact.cn/zsadmin/ldr .exe
58.65.237.153 arsofcaribion.com/lder/ldr .exe
67.210.124.90 academcity.com/ic/6e .txt
67.210.124.90 academcity.com/ic/6e .txt
68.180.151.74 emailsupports.com/Info .exe
68.180.151.74 emailsupports.com/z/setup .ini
68.180.151.74 mypage12.com/control/cfg .bin
72.167.232.78 powelldirects.com/awstats/usbtn/conf .sts
72.233.79.18 i-love-porno.com/z/ldr .exe
72.9.154.58 daimtraders.com/vateranery/imgpe .bin
74.86.115.14 arinina.com/cfg/ntdrv32 .exe
77.222.40.33 chixxxa.com/tru/ldr .exe
78.159.96.95 zonephp.com/us/us1 .exe
85.12.197.41 danacompany.ru/css/cs .bin
85.17.109.10 sjfdhw395t.com/newzz/cfg .bin
Resulta bastante peligroso si consideramos que, además de realizar las típicas acciones del malware, puede ser conseguido por cualquier persona que deposite una determinada cantidad de dinero en la cuenta de sus creadores.
Quizás este sea uno de los mejores fundamentos para argumentar el por qué de la gran cantidad de variantes de “zeus” que se encuentran In-the-Wild asechando nuestros sistemas buscando reclutar zombies. Lo cierto es que, aunque no hace honor a su nombre, es una de las botnet más grandes del momento.
Incluso, aunque esta última característica se vea amenaza por otras “alternativas” del mundo botnet como Waledac, el reciente Adrenalin, o la menos importante (en magnitud) Asprox (también conocida como Danmec), la verdad es que debemos ser cautelosos para no ser víctimas de estas amenazas que siempre buscan llevar a cabo con éxito su cometido: obtener nuestro dinero y recursos computacionales.
Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web
Waledac más amorozo que nunca
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
Ataque de malware vía Drive-by-Download
# pistus