Zeus Botnet. Masiva propagación de su troyano. Segunda parte
En una primera parte pudimos contar muy por arriba de qué se trata Zeus, junto a una pequeña lista de dominios y direcciones IP comprometidas con el troyano y muy útiles para bloquearlas.
El siguiente mapa muestra información relacionada a cada host infectado por Zeus que es identificado por intermedio de un punto. Aunque a simple vista, la información que nos muestra el mapa puede dar la sensación de insuficiente, hay que tener en cuenta que cada uno de los nodos puede representar varias direcciones IP o dominios alojados en un mismo servidor, con lo cual el porcentaje de equipos infectados se potencia.
Aunque la lista es muy pequeña comparada con la cantidad de dominios que alojan a Zeus, es sumamente importante que los administradores bloqueen los mismos en su estructura de red para evitar problemas de infección.
85.17.139.189 investmentguard.co.uk/foto/body_bg_akh10 .jpg
85.17.143.132 mainssrv.com/pic/timeats .jpg
91.197.130.39 goldarea.biz/bot .exe
92.48.119.151 allmusicsshop.com/bnngJPdf7772Nd .exe
92.62.100.14 chinkchoi.net/3n539@32d .exe
92.62.101.54 drupa1.com/s/fuck .exe
92.62.101.54 ltnc.info/utility/lease/software/update/config .bin
92.62.101.54 tdxs.info/utility/backup/config .bin
94.103.80.150 zone-game.org/ldr .exe
94.75.214.18 vokcrash.com/144/load .php
196.2.198.243/wweb11/zdr .exe
196.2.198.243/xwweb/zdb .exe
58.65.236.41/z .exe
67.225.177.120/moon/cfg1.bin
78.26.179.201/matt/loader .exe
91.211.65.122/~nostr551te/endive/dogi .exe
92.241.164.198/~cadazeu/testbot/ldr .exe
92.62.101.60/g1/data
92.62.101.60/g2/data
92.62.101.60/g2/run .exe
94.247.3.211/ddk/audio
94.247.3.211/rot/load .exe
94.247.3.211/rot/zlom
freecastingus.cn/z12/config .bin
freecastingus.cn/z12/loader .exe
http://ltnc.info/utility/lease/software/update/config .bin
http://tdxs.info/utility/backup/config .bin
Por otro lado, cada una de los dominios, junto a su dirección IP, representan un host infectado o servidor vulnerado.
Teniendo en cuenta que los medios de propagación e infección empleados por Zeus son, el correo electrónico y técnicas de Drive-by-Download a través de diferentes exploit donde uno de los más conocidos es Luckysploit, o sitios vulnerados a los cuales se implantan malware kits como ElFiesta; resulta sumamente importante bloquear los dominios y direcciones IP que he expuesto.
Información relacionada
Zeus Botnet. Masiva propagación de su troyano. Parte 1
Lista de dominios comprometidos por Zeus
Lista de IPs comprometidas por Zeus
# pistus
Ver más
El siguiente mapa muestra información relacionada a cada host infectado por Zeus que es identificado por intermedio de un punto. Aunque a simple vista, la información que nos muestra el mapa puede dar la sensación de insuficiente, hay que tener en cuenta que cada uno de los nodos puede representar varias direcciones IP o dominios alojados en un mismo servidor, con lo cual el porcentaje de equipos infectados se potencia.
Aunque la lista es muy pequeña comparada con la cantidad de dominios que alojan a Zeus, es sumamente importante que los administradores bloqueen los mismos en su estructura de red para evitar problemas de infección.85.17.139.189 investmentguard.co.uk/foto/body_bg_akh10 .jpg
85.17.143.132 mainssrv.com/pic/timeats .jpg
91.197.130.39 goldarea.biz/bot .exe
92.48.119.151 allmusicsshop.com/bnngJPdf7772Nd .exe
92.62.100.14 chinkchoi.net/3n539@32d .exe
92.62.101.54 drupa1.com/s/fuck .exe
92.62.101.54 ltnc.info/utility/lease/software/update/config .bin
92.62.101.54 tdxs.info/utility/backup/config .bin
94.103.80.150 zone-game.org/ldr .exe
94.75.214.18 vokcrash.com/144/load .php
196.2.198.243/wweb11/zdr .exe
196.2.198.243/xwweb/zdb .exe
58.65.236.41/z .exe
67.225.177.120/moon/cfg1.bin
78.26.179.201/matt/loader .exe
91.211.65.122/~nostr551te/endive/dogi .exe
92.241.164.198/~cadazeu/testbot/ldr .exe
92.62.101.60/g1/data
92.62.101.60/g2/data
92.62.101.60/g2/run .exe
94.247.3.211/ddk/audio
94.247.3.211/rot/load .exe
94.247.3.211/rot/zlom
freecastingus.cn/z12/config .bin
freecastingus.cn/z12/loader .exe
http://ltnc.info/utility/lease/software/update/config .bin
http://tdxs.info/utility/backup/config .bin
Teniendo en cuenta que los medios de propagación e infección empleados por Zeus son, el correo electrónico y técnicas de Drive-by-Download a través de diferentes exploit donde uno de los más conocidos es Luckysploit, o sitios vulnerados a los cuales se implantan malware kits como ElFiesta; resulta sumamente importante bloquear los dominios y direcciones IP que he expuesto.
Información relacionada
Zeus Botnet. Masiva propagación de su troyano. Parte 1
Lista de dominios comprometidos por Zeus
Lista de IPs comprometidas por Zeus
# pistus
