Ice IX

Ice IX ist ein Bot, der aus dem durchgesickerten Quellcode von ZeuS 2.0.8.9 entwickelt wurde. Der vermeintliche Autor der Bedrohung hielt sich nicht zurück, als er die Malware in unterirdischen Hackerforen bewarb. Die Bedrohung wird ZeuS als weit überlegen beschrieben, da der Code erheblich verbessert und modifiziert wurde. Drei Hauptverbesserungsbereiche wurden speziell erwähnt. Anscheinend kann Ice IX Firewalls weitaus besser umgehen, um nicht von proaktiven Schutzlösungen erfasst zu werden und gleichzeitig von Trackern unentdeckt zu bleiben. Der letzte Punkt bezieht sich höchstwahrscheinlich auf den ZeuS- Tracker, der zu dieser Zeit Cyberkriminelle behinderte. Zwei Versionen von Ice IX wurden zum Verkauf angeboten - eine für 600 US-Dollar, in die eine festverdrahtete Command-and-Control-URL (C2, C & C) integriert war, und eine Version für 1800 US-Dollar ohne die fest codierte URL.

Als Infosec-Forscher den Code von Ice IX genauer betrachteten, stellten sie jedoch fest, dass es sich bei den sogenannten Verbesserungen um geringfügige Änderungen handelte, die die Struktur oder das Verhalten der Bedrohung im Vergleich zum ursprünglichen Code von ZeuS 2.0.8.9 kaum veränderten. Zunächst brachte der Autor von Ice IX einfach einen Codeabschnitt zurück, der im durchgesickerten ZeuS-Code auskommentiert war. Dieser Code war für das Auffinden und Verarbeiten von E-Mail-Anmeldeinformationen verantwortlich. Ein weiterer Unterschied bestand darin, dass ein einzelnes Startargument - ' -i ' - nicht mehr unterstützt wurde, da der Ersteller von Ice IX den Abschnitt des Codes entfernt hatte, der für die Verarbeitung dieses Schlüssels verantwortlich war. Im ursprünglichen ZeuS zeigte dieses Argument ein Fenster mit Informationen zur Bedrohung an. Eine weitere wichtige Verbesserung ist das Ersetzen der Sonderzeichen, mit denen das Verhalten von ZeuS definiert wird, wenn der Zielbenutzer bestimmte Websites besucht. In Ice IX werden die Originalzeichen '!', '@', '-' und '^' einfach durch die Buchstaben 'N', 'S', 'C' und 'B' ersetzt.

Die wohl größte Änderung wurde beim Lesen von Daten aus der Registrierung beobachtet, da die API-Funktion RegOpenKeyEx aus der für diesen Prozess verantwortlichen Funktion entfernt wurde. Zu diesem Zeitpunkt wurden einige Anti-Malware-Lösungen möglicherweise durch die Änderungen getäuscht, die zu einer verminderten Erkennung der Bedrohung führten. Um die Erkennung durch Tracker zu vermeiden, konnten die Forscher keine schlüssigen Beweise dafür finden, dass es überhaupt existiert. Sie vermuteten höchstens, dass der Ersteller von Ice IX möglicherweise auf die neue Methode zum Herunterladen der Konfigurationsdatei der Bedrohung verwiesen hat. Während ZeuS eine fest codierte URL verwendete, verwendete Ice IX einen bestimmten POST, der die Parameter id = & hash = enthalten muss. Insgesamt umfasste der Prozess mehrere zusätzliche Schritte. Wenn jedoch derselbe Verschlüsselungsalgorithmus beibehalten wird, der in ZeuS (dem RC4-Algorithmus) beobachtet wurde, werden keine aussagekräftigen Ergebnisse erzielt.