Nueva versión de la Botnet Zeus 2

La Botnet Zeus, fue una de las redes de ordenadores zombie más importantes de los últimos años infectando miles de usuarios sin que se enteraran que sus ordenadores colaboraban en distintos ataques a servidores y paginas web. El proyecto de la Botnet seguramente aportó gran cantidad de beneficios a sus propietarios y es por ello que ahora se empiezan a encontrar muestras de lo que seria la segunda versión de este malware.

En ésta nueva versión, se han hecho algunos cambios y otros se han respetado del original, el cambio mas destacable es que se ha mejorado el nivel de seguridad del malware contra ingeniería inversa y los motores heurísticos de los antivirus con un nuevo sistema de comunicación cifrado donde se utiliza incluso en las conexiónes donde se envian o reciben comandos.

Entre otras características a destacar tenemos:

• Utiliza un sistema para generar un nombre aleatorio en sus copias y crearlas dentro de carpetas con nombres aleatorios.
• Para auto-iniciarse crea una clave en el registro en HKCU\..\Run utilizando como valor usualmente "Userinit".
• No realizan hooks para inyectarse en procesos como lo hacía la anterior versión, por ejemplo a svchost.exe o services.exe.
• Crea y utiliza un mutex mediante una función de letras y numeros aleatorios.

Por último comentar que aunque el sistema de comunicaciónes esté cifrado, se han modificado las consignas o commandos del bot por nombres mas claros según sus funciones, por ejemplo un grupo de comandos son:

user_execute; user_logoff; user_destroy; fs_search_remove; fs_search_add;fs_path_get; bot_httpinject_enable; bot_httpinject_disable; bot_bc_remove; bot_bc_add; bot_update; bot_uninstall; os_reboot; os_shutdown;

Posted in: Notícias