Ice IX

Ice IX je bot razvijen iz procurjelog izvornog koda ZeuS 2.0.8.9. Navodni autor prijetnje nije se suzdržavao pri oglašavanju zlonamjernog softvera na podzemnim hakerskim forumima. Prijetnja je opisana kao znatno superiornija od ZeuS-a zahvaljujući značajnim poboljšanjima i preinakama zapisanim u kod. Tri su glavna područja poboljšanja posebno navedena. Čini se da je Ice IX daleko bolji u zaobilaženju vatrozida, izbjegavajući da ga uhvate proaktivna rješenja zaštite, a istovremeno ostaju neotkriveni od strane tragača. Posljednja se točka najvjerojatnije odnosi na ZeuS tracker koji je u to vrijeme kočio cyber kriminalce. Na prodaju su bile ponuđene dvije verzije Ice IX - jedna od 600 dolara koja je imala ugrađeni URL za upravljanje i upravljanje (C2, C&C) i verzija od 1800 dolara bez kodiranog URL-a.

Međutim, kada su istraživači infosec-a pobliže pogledali kôd Ice IX-a, otkrili su da su takozvana poboljšanja manje izmjene koje su jedva promijenile strukturu ili ponašanje prijetnje u usporedbi s izvornim kodom ZeuS 2.0.8.9. Prvo je autor Ice IX jednostavno vratio dio koda koji je komentiran u procurjelom ZeuS kodu. Ovaj je kôd odgovoran za pronalaženje i obradu vjerodajnica e-pošte. Druga razlika bila je u tome što jedan argument pokretanja - ' -i ' više nije podržan jer je kreator Ice IX uklonio odjeljak koda odgovornog za obradu ovog ključa. U izvornom ZeuS-u ovaj je argument prikazivao prozor s informacijama o prijetnji. Sljedeće 'glavno' poboljšanje je zamjena posebnih znakova koji se koriste za definiranje ponašanja ZeuS-a kada ciljani korisnik posjeti određene web stranice. U Ice IX originalni znakovi '!', '@', '-' i '^' jednostavno se zamjenjuju slovima 'N', 'S', 'C' i 'B.'

Vjerojatno je da je najveća promjena uočena u načinu čitanja podataka iz Registra zbog uklanjanja API funkcije RegOpenKeyEx iz funkcije odgovorne za ovaj postupak. U to su vrijeme neka rješenja protiv zlonamjernog softvera mogla zavarati promjenama koje su rezultirale smanjenim otkrivanjem prijetnje. Što se tiče izbjegavanja otkrivanja s tragača, istraživači uopće nisu mogli pronaći uvjerljive dokaze da postoji. Najviše su pretpostavljali da je tvorac Ice IX možda mislio na novu metodu preuzimanja konfiguracijske datoteke prijetnje. Dok je ZeuS koristio kodirani URL, Ice IX je upotrijebio određeni POST koji mora sadržavati parametre id = & hash =. U cjelini, postupak je obuhvatio nekoliko dodatnih koraka, ali ostavljanjem istog algoritma za šifriranje koji je primijećen u ZeuS-u (algoritam RC4), ne daje nikakve značajne rezultate.