Ice IX

Ice IX je robot vyvinutý z uniklého zdrojového kódu ZeuS 2.0.8.9. Domnělý autor hrozby se neudržel, když inzeroval malware na podzemních fórech hackerů. Hrozba je popsána jako výrazně lepší než ZeuS díky významným vylepšením a úpravám zapsaným do kódu. Konkrétně byly zmíněny tři hlavní oblasti zlepšení. Ice IX je očividně mnohem lepší v obcházení bran firewall, vyhýbá se tomu, aby byl chycen řešeními proaktivní ochrany, a zároveň zůstává nezjištěný trackery. Poslední bod se s největší pravděpodobností týká sledovače ZeuS, který v té době bránil počítačovým zločincům. K prodeji byly nabízeny dvě verze Ice IX - 600 $, která měla zabudovanou pevně připojenou URL Command-and-Control (C2, C&C) a 1 800 $ bez pevně zakódované URL.

Když se vědci z infosecu podrobněji podívali na kód Ice IX, zjistili však, že takzvaná vylepšení byla drobnými úpravami, které stěží změnily strukturu nebo chování hrozby, ve srovnání s původním kódem ZeuS 2.0.8.9. Nejprve autor Ice IX jednoduše přivedl zpět část kódu, která byla komentována v uniklém kódu ZeuS. Tento kód byl zodpovědný za vyhledání a zpracování e-mailových údajů. Další rozdíl spočíval v tom, že jediný spouštěcí argument - „ -i " již nebyl podporován, protože tvůrce Ice IX odstranil část kódu odpovědnou za zpracování tohoto klíče. V původním ZeuS tento argument zobrazil okno s informacemi o hrozbě. Dalším „významným" vylepšením je nahrazení speciálních znaků používaných k definování chování ZeuS, když cílený uživatel navštíví určité webové stránky. V Ice IX jsou původní znaky '!', '@', '-' a '^' jednoduše nahrazeny písmeny 'N', 'S', 'C' a 'B.'

Pravděpodobně největší změna byla pozorována ve způsobu čtení dat z registru kvůli odstranění funkce API RegOpenKeyEx z funkce odpovědné za tento proces. V té době mohla být některá antimalwarová řešení oklamána změnami, které vedly ke snížení detekce hrozby. Pokud jde o zabránění detekci ze sledovačů, vědci nemohli najít přesvědčivé důkazy o tom, že existuje. Nanejvýš předpokládali, že tvůrce hry Ice IX mohl mít na mysli novou metodu stahování konfiguračního souboru hrozby. Zatímco ZeuS používal pevně zakódovanou adresu URL, Ice IX použil konkrétní POST, který musí obsahovat parametry id = & hash =. Jako celek byl proces proveden tak, aby zahrnoval několik dalších kroků, ale ponecháním stejného šifrovacího algoritmu, jaký byl pozorován v ZeuS (algoritmus RC4), nepřináší žádné smysluplné výsledky.