Ice IX

Ice IX on robot, mis on välja töötatud ZeuS 2.0.8.9 lekitatud lähtekoodist. Oletatav ohu autor ei pidurdanud pahavara reklaamimisel maa-alustes häkkerifoorumites. Ohtu kirjeldatakse ZeuS-ist oluliselt paremana tänu sellele, et koodile on kirjutatud olulised täiustused ja muudatused. Konkreetselt on mainitud kolme peamist arenguvaldkonda. Ilmselt suudab Ice IX tulemüüridest mööda hiilida palju paremini, vältides ennetavate kaitselahenduste sattumist, samas kui ka jälgijad jäävad neid avastamata. Viimane punkt viitab suure tõenäosusega ZeuSi jälgijale, mis tol ajal küberkurjategijaid takistas. Müügil pakuti Ice IX kahte versiooni - 600-dollarist versiooni, millele oli sisseehitatud juhtmega juhtimise ja juhtimise (C2, C & C) URL ja 1800-dollarine versioon ilma kõvakodeeritud URL-ina.

Infoseci uurijad uurisid Ice IX koodi lähemalt, kuid avastasid, et nn täiustused olid väiksemad muudatused, mis muutsid ohu struktuuri või käitumist vaevu, võrreldes ZeuS 2.0.8.9 algse koodiga. Esiteks tõi Ice IX autor lihtsalt tagasi koodiosa, mida kommenteeriti lekkinud ZeuS-koodis. See kood vastutas e-posti aadressi leidmise ja töötlemise eest. Teine erinevus seisnes selles, et ühte käivitusargumenti - -i ei toetatud enam tänu sellele, et Ice IX looja eemaldas selle võtme töötlemise eest vastutava koodi osa. Algses ZeuS-is kuvas see argument akna, kus oli teave ohu kohta. Teine „oluline" täiustus on erimärkide asendamine, mida kasutatakse ZeuS-i käitumise määratlemiseks, kui sihitud kasutaja külastab teatud veebisaite. Jää IX-s asendatakse algsed tähemärgid '!', '@', '-' ja '^' lihtsalt tähtedega 'N', 'S', 'C' ja 'B'.

Väidetavalt täheldati suurimat muutust registris olevate andmete lugemise viisis, kuna API-funktsioon RegOpenKeyEx eemaldati selle protsessi eest vastutavast funktsioonist. Sel ajal võisid mõned pahavaratõrje lahendused petta muudatustega, mille tulemuseks oli ohu avastamise vähenemine. Mis puutub jälgijate avastamise vältimisse, siis teadlased ei suutnud leida veenvaid tõendeid selle olemasolu kohta. Kõige rohkem arvasid nad, et Ice IX looja võis viidata uuele meetodile ohu konfiguratsioonifaili allalaadimiseks. Kui ZeuS kasutas kõvakodeeritud URL-i, kasutas Ice IX spetsiifilist POST-i, mis peab sisaldama parameetreid id = & hash =. Tervikuna tehti protsess mitmete täiendavate sammude kaasamiseks, kuid jättes sama krüptimisalgoritmi, mida täheldati ZeuS-is (RC4 algoritm), ei õnnestu see anda sisulisi tulemusi.