Ice IX

O Ice IX é um bot desenvolvido a partir do código-fonte vazado do ZeuS 2.0.8.9. O suposto autor da ameaça não se conteve ao anunciar o malware em fóruns clandestinos de hackers. A ameaça é descrita como muito superior ao ZeuS, graças a melhorias e modificações significativas escritas no código. Três áreas principais de melhoria foram mencionadas especificamente. Aparentemente, Ice IX é muito melhor em contornar firewalls, evitando ser pego por soluções de proteção proativas enquanto também permanece indetectado por rastreadores. O último ponto provavelmente se refere ao rastreador ZeuS que atrapalhou os cibercriminosos na época. Duas versões do Ice IX foram colocadas à venda - uma de $600 que tinha uma URL de Comando e Controle (C2, C&C) embutida e uma versão de $1800 sem a URL codificada.

Quando os pesquisadores da infosec deram uma olhada no código do Ice IX, no entanto, eles descobriram que os chamados aprimoramentos eram pequenas modificações que alteravam a estrutura ou comportamento da ameaça apenas, quando comparados ao código original do ZeuS 2.0.8.9. Primeiro, o autor de Ice IX simplesmente trouxe de volta uma seção do código que foi comentada no código ZeuS que vazou. Este código foi responsável por localizar e processar credenciais de email. Outra diferença era que um único argumento de lançamento - ' -i ' não era mais suportado devido ao criador do Ice IX ter removido a seção do código responsável pelo processamento dessa chave. No ZeuS original, esse argumento exibia uma janela com informações sobre a ameaça. Outro aprimoramento 'importante' é a substituição dos caracteres especiais usados para definir o comportamento do ZeuS quando o usuário-alvo visita determinados sites. No Ice IX, os caracteres originais '!', '@', '-' e '^' são simplesmente substituídos pelas letras 'N', 'S', 'C' e 'B.'

Indiscutivelmente, a maior mudança foi observada na forma como os dados do Registro estavam sendo lidos devido à remoção da função API RegOpenKeyEx da função responsável por este processo. Na época, algumas soluções anti-malware podem ter sido enganadas pelas mudanças que resultaram na diminuição da detecção da ameaça. Quanto a evitar a detecção de rastreadores, os pesquisadores não conseguiram encontrar evidências conclusivas de que ela existe. No máximo, eles presumiram que o criador do Ice IX pode estar se referindo ao novo método de download do arquivo de configuração da ameaça. Enquanto o ZeuS usava um URL codificado, o Ice IX empregava um POST específico que deve incluir os parâmetros id=&hash=. Como um todo, o processo foi feito para incluir várias etapas adicionais, mas, ao deixar o mesmo algoritmo de criptografia que foi observado no ZeuS (o algoritmo RC4), ele falha em produzir quaisquer resultados significativos.