Ice IX

Ice IX is een bot die is ontwikkeld op basis van de gelekte broncode van ZeuS 2.0.8.9. De vermeende auteur van de dreiging aarzelde niet toen hij reclame maakte voor de malware op ondergrondse hackerforums. De dreiging wordt beschreven als enorm superieur aan ZeuS dankzij de aanzienlijke verbeteringen en wijzigingen die in de code zijn geschreven. Er zijn specifiek drie belangrijke verbeterpunten genoemd. Blijkbaar is Ice IX veel beter in het omzeilen van firewalls, het vermijden dat het wordt betrapt door proactieve beschermingsoplossingen, terwijl het ook niet wordt opgemerkt door trackers. Het laatste punt verwijst hoogstwaarschijnlijk naar de ZeuS- tracker die cybercriminelen destijds hinderde. Er werden twee versies van Ice IX te koop aangeboden: een versie van $ 600 met een ingebouwde Command-and-Control-URL (C2, C&C) en een versie van $ 1800 zonder de hardgecodeerde URL.

Toen infosec-onderzoekers de code van Ice IX nader bekeken, ontdekten ze dat de zogenaamde verbeteringen kleine wijzigingen waren die de structuur of het gedrag van de dreiging nauwelijks veranderden in vergelijking met de originele code van ZeuS 2.0.8.9. Ten eerste bracht de auteur van Ice IX gewoon een stuk code terug dat in de gelekte ZeuS-code was gereageerd. Deze code was verantwoordelijk voor het vinden en verwerken van e-mailreferenties. Een ander verschil was dat een enkel startargument - ' -i ' niet langer werd ondersteund doordat de maker van Ice IX het gedeelte van de code verwijderde dat verantwoordelijk was voor het verwerken van deze sleutel. In de originele ZeuS toonde dit argument een venster met informatie over de dreiging. Een andere 'grote' verbetering is de vervanging van de speciale tekens die worden gebruikt om het gedrag van ZeuS te definiëren wanneer de beoogde gebruiker bepaalde websites bezoekt. In Ice IX worden de originele karakters '!', '@', '-' en '^' simpelweg vervangen door de letters 'N', 'S', 'C' en 'B.'

De grootste verandering werd ongetwijfeld waargenomen in de manier waarop gegevens uit het register werden gelezen doordat de API-functie RegOpenKeyEx werd verwijderd uit de functie die verantwoordelijk is voor dit proces. Op dat moment werden sommige anti-malwareoplossingen voor de gek gehouden door de wijzigingen die leidden tot een verminderde detectie van de dreiging. Wat betreft het vermijden van detectie door trackers, konden de onderzoekers geen sluitend bewijs vinden dat het in de eerste plaats bestaat. Ze vermoedden hoogstens dat de maker van Ice IX mogelijk verwees naar de nieuwe methode om het configuratiebestand van de dreiging te downloaden. Terwijl ZeuS een hardgecodeerde URL gebruikte, gebruikte Ice IX een specifieke POST die de parameters id = & hash = moet bevatten. Als geheel is het proces gemaakt om verschillende aanvullende stappen te omvatten, maar door hetzelfde versleutelingsalgoritme achter te laten dat werd waargenomen in ZeuS (het RC4-algoritme), levert het geen zinvolle resultaten op.