Ice IX

Ice IX to bot stworzony na podstawie wycieku kodu źródłowego ZeuS 2.0.8.9. Domniemany autor zagrożenia nie powstrzymywał się przed reklamowaniem szkodliwego oprogramowania na podziemnych forach hakerów. Zagrożenie jest opisane jako znacznie lepsze niż ZeuS dzięki znacznym ulepszeniom i modyfikacjom napisanym w kodzie. Wyszczególniono trzy główne obszary wymagające poprawy. Wygląda na to, że Ice IX znacznie lepiej omija zapory ogniowe, unikając złapania przez proaktywne rozwiązania ochronne, a jednocześnie pozostaje niewykryty przez trackery. Ostatni punkt najprawdopodobniej odnosi się do modułu śledzącego ZeuS, który w tamtym czasie utrudniał działanie cyberprzestępców. Do sprzedaży wystawiono dwie wersje Ice IX - jedną za 600 USD, która miała wbudowany na stałe adres URL typu Command-and-Control (C2, C&C) oraz wersję za 1800 USD bez zakodowanego adresu URL.

Kiedy badacze infosec przyjrzeli się bliżej kodowi Ice IX, odkryli jednak, że tak zwane ulepszenia były drobnymi modyfikacjami, które ledwo zmieniły strukturę lub zachowanie zagrożenia w porównaniu z oryginalnym kodem ZeuS 2.0.8.9. Po pierwsze, autor Ice IX po prostu przywrócił sekcję kodu, która została zakomentowana w kodzie ZeuS, który wyciekł. Ten kod był odpowiedzialny za znajdowanie i przetwarzanie poświadczeń e-mail. Inną różnicą było to, że pojedynczy argument uruchamiania - ' -i ' nie był już obsługiwany, ponieważ twórca Ice IX usunął sekcję kodu odpowiedzialną za przetwarzanie tego klucza. W oryginalnym ZeuSie ten argument wyświetlał okno z informacjami o zagrożeniu. Innym „dużym" ulepszeniem jest zastąpienie znaków specjalnych używanych do określenia zachowania ZeuSa, gdy docelowy użytkownik odwiedza określone strony internetowe. W Ice IX oryginalne znaki „!", „@", „-" i „^" są po prostu zastępowane literami „N", „S", „C" i „B".

Prawdopodobnie największą zmianę zaobserwowano w sposobie odczytu danych z Rejestru w związku z usunięciem funkcji API RegOpenKeyEx z funkcji odpowiedzialnej za ten proces. W tamtym czasie niektóre rozwiązania antywirusowe mogły zostać oszukane przez zmiany skutkujące zmniejszeniem wykrywania zagrożenia. Jeśli chodzi o unikanie wykrycia przez urządzenia śledzące, naukowcy nie mogli znaleźć rozstrzygających dowodów na to, że w ogóle istnieje. Co najwyżej przypuszczali, że twórca Ice IX mógł odnosić się do nowej metody pobierania pliku konfiguracyjnego zagrożenia. Podczas gdy ZeuS używał zakodowanego na stałe adresu URL, Ice IX zastosował określony POST, który musi zawierać parametry id = & hash =. W sumie proces obejmował kilka dodatkowych kroków, ale pozostawiając ten sam algorytm szyfrowania, który zaobserwowano w ZeuS (algorytm RC4), nie daje żadnych znaczących wyników.