Ice IX

Ice IX er en bot, der er udviklet fra den lækkede kildekode i ZeuS 2.0.8.9. Den formodede forfatter af truslen holdt sig ikke tilbage, da han annoncerede malware på underjordiske hackerfora. Truslen beskrives som meget overlegen i forhold til ZeuS takket være betydelige forbedringer og ændringer skrevet til koden. Tre hovedforbedringsområder er nævnt specifikt. Tilsyneladende er Ice IX langt bedre til at omgå firewalls og undgår at blive fanget af proaktive beskyttelsesløsninger, mens de også forbliver uopdaget af trackere. Det sidste punkt henviser sandsynligvis til ZeuS- trackeren, der hæmmede cyberkriminelle på det tidspunkt. To versioner af Ice IX blev tilbudt til salg - en $ 600, der havde en hardwired Command-and-Control (C2, C&C) URL indbygget i den og en $ 1800-version uden den hardkodede URL.

Da infosec-forskere kiggede nærmere på Ice IXs kode, opdagede de imidlertid, at de såkaldte forbedringer var mindre ændringer, der næppe ændrede truslens struktur eller opførsel sammenlignet med den oprindelige kode for ZeuS 2.0.8.9. For det første bragte forfatteren af Ice IX simpelthen et afsnit med kode tilbage, der blev kommenteret i den lækkede ZeuS-kode. Denne kode var ansvarlig for at finde og behandle e-mail-legitimationsoplysninger. En anden forskel var, at et enkelt lanceringsargument - ' -i ' ikke længere blev understøttet, fordi skaberen af Ice IX fjernede det afsnit af koden, der var ansvarlig for behandlingen af denne nøgle. I den oprindelige ZeuS viste dette argument et vindue med oplysninger om truslen. En anden 'vigtig' forbedring er erstatningen af specialtegn, der bruges til at definere ZeuS 'opførsel, når den målrettede bruger besøger bestemte websteder. I Ice IX erstattes de oprindelige tegn '!', '@', '-' og '^' simpelthen med bogstaverne 'N', 'S', 'C' og 'B.'

Formentlig blev den største ændring observeret i den måde, data fra registreringsdatabasen blev læst på grund af, at API-funktionen RegOpenKeyEx blev fjernet fra den funktion, der var ansvarlig for denne proces. På det tidspunkt kan nogle anti-malware-løsninger være blevet narret af ændringerne, der resulterede i nedsat opdagelse af truslen. Med hensyn til at undgå afsløring fra trackere kunne forskerne ikke finde afgørende bevis for, at det eksisterede i første omgang. I højeste formodede de, at skaberen af Ice IX muligvis har henvist til den nye metode til at downloade konfigurationsfilen for truslen. Mens ZeuS brugte en hardkodet URL, anvendte Ice IX en bestemt POST, der skal indeholde parametrene id = & hash =. Som helhed blev processen lavet til at omfatte flere yderligere trin, men ved at efterlade den samme krypteringsalgoritme, som blev observeret i ZeuS (RC4-algoritmen), kunne den ikke give nogen meningsfulde resultater.