Ice IX

Ice IX on botti, joka on kehitetty vuotaneesta lähdekoodista ZeuS 2.0.8.9. Uhan oletettu kirjoittaja ei pidätellyt mainostaessaan haittaohjelmia maanalaisissa hakkereiden foorumeissa. Uhan kuvaillaan olevan huomattavasti parempi kuin ZeuS, koska koodiin on kirjoitettu merkittäviä parannuksia ja muutoksia. Kolme pääparannusaluetta on mainittu erikseen. Ilmeisesti Ice IX pystyy paljon paremmin ohittamaan palomuurit välttäen ennakoivien suojausratkaisujen tarttumista samalla, kun seurannat eivät myöskään huomaa niitä. Viimeinen kohta viittaa todennäköisesti ZeuS- seurantalaitteeseen, joka vaikeutti tietoverkkorikollisia tuolloin. Kaksi Ice IX -versiota tarjottiin myyntiin - 600 dollarin versio, johon oli sisäänrakennettu kiinteä Command-and-Control (C2, C & C) URL ja 1800 dollarin versio ilman kovakoodattua URL-osoitetta.

Kun infosec-tutkijat tarkastelivat tarkemmin Ice IX: n koodia, he havaitsivat, että ns. Parannukset olivat pieniä muutoksia, jotka muuttivat uhan rakennetta tai käyttäytymistä tuskin, verrattuna alkuperäiseen ZeuS 2.0.8.9 -koodiin. Ensinnäkin Ice IX: n kirjoittaja toi yksinkertaisesti takaisin osan koodista, joka kommentoitiin vuotaneessa ZeuS-koodissa. Tämä koodi vastasi sähköpostitietojen löytämisestä ja käsittelystä. Toinen ero oli se, että yhtä käynnistysargumenttia - ' -i ' 'ei enää tuettu, koska Ice IX: n luoja poisti tämän avaimen käsittelystä vastaavan koodin osan. Alkuperäisessä ZeuS: ssä tämä argumentti näytti ikkunan, jossa oli tietoja uhasta. Toinen 'merkittävä' parannus on erikoismerkkien korvaaminen, joita käytetään määrittämään ZeuS: n käyttäytyminen, kun kohdennettu käyttäjä vierailee tietyillä verkkosivustoilla. Jää IX: ssä alkuperäiset merkit '!', '@', '-' ja '^' korvataan yksinkertaisesti kirjaimilla 'N', 'S', 'C' ja 'B.'

Epäilemättä suurin muutos havaittiin tavassa, jolla rekisterin tietoja luettiin, koska RegOpenKeyEx-sovellusliittymäfunktio poistettiin prosessista vastaavasta toiminnosta. Tuolloin jotkut haittaohjelmien torjuntaratkaisut ovat saattaneet hämätä muutokset, jotka johtivat uhan havaitsemisen vähenemiseen. Mitä tulee seurannan havaitsemisen välttämiseen, tutkijat eivät löytäneet vakuuttavia todisteita sen olemassaolosta. Korkeintaan he olettivat, että Ice IX: n luoja on saattanut viitata uuteen tapaan ladata uhkan määritystiedosto. Vaikka ZeuS käytti kovakoodattua URL-osoitetta, Ice IX käytti erityistä POSTia, jonka on sisällettävä parametrit id = & hash =. Kokonaisuutena prosessi tehtiin sisällyttämään useita lisävaiheita, mutta jättämättä sama salausalgoritmi, joka havaittiin ZeuS: ssä (RC4-algoritmi), se ei tuota mitään merkityksellisiä tuloksia.