Ice IX

Ice IX est un bot développé à partir du code source divulgué de ZeuS 2.0.8.9. L'auteur supposé de la menace n'a pas hésité à annoncer le malware sur des forums de pirates souterrains. La menace est décrite comme largement supérieure à ZeuS grâce à des améliorations et des modifications significatives écrites dans le code. Trois principaux domaines d'amélioration ont été spécifiquement mentionnés. Apparemment, Ice IX est bien meilleur pour contourner les pare-feu, évitant d'être pris par des solutions de protection proactives tout en restant non détecté par les traqueurs. Le dernier point fait probablement référence au tracker ZeuS qui a gêné les cybercriminels à l'époque. Deux versions d'Ice IX ont été proposées à la vente - une version de 600 $ avec une URL de commande et de contrôle (C2, C&C) câblée intégrée et une version de 1800 $ sans l'URL codée en dur.

Cependant, lorsque les chercheurs d'Infosec ont examiné de plus près le code d'Ice IX, ils ont découvert que les soi-disant améliorations étaient des modifications mineures qui changeaient à peine la structure ou le comportement de la menace, par rapport au code original de ZeuS 2.0.8.9. Tout d'abord, l'auteur d'Ice IX a simplement ramené une section de code qui a été commentée dans le code ZeuS divulgué. Ce code était responsable de la recherche et du traitement des informations d'identification de messagerie. Une autre différence était qu'un seul argument de lancement - ' -i ' n'était plus pris en charge car le créateur d'Ice IX avait supprimé la section du code responsable du traitement de cette clé. Dans le ZeuS d'origine, cet argument affichait une fenêtre contenant des informations sur la menace. Une autre amélioration «majeure» est la substitution des caractères spéciaux utilisés pour définir le comportement de ZeuS lorsque l'utilisateur ciblé visite certains sites Web. Dans Ice IX, les caractères originaux «!», «@», «-» et «^» sont simplement remplacés par les lettres «N», «S», «C» et «B.»

On peut dire que le plus grand changement a été observé dans la façon dont les données du registre étaient lues en raison de la suppression de la fonction API RegOpenKeyEx de la fonction responsable de ce processus. À l'époque, certaines solutions anti-malware ont peut-être été trompées par les changements entraînant une diminution de la détection de la menace. Pour ce qui est d'éviter la détection par les trackers, les chercheurs n'ont pas pu trouver de preuves concluantes de son existence. Tout au plus, ils ont supposé que le créateur d'Ice IX faisait peut-être référence à la nouvelle méthode de téléchargement du fichier de configuration de la menace. Alors que ZeuS utilisait une URL codée en dur, Ice IX a utilisé un POST spécifique qui doit inclure les paramètres id = & hash =. Dans l'ensemble, le processus a été conçu pour inclure plusieurs étapes supplémentaires, mais, en laissant le même algorithme de cryptage que celui observé dans ZeuS (l'algorithme RC4), il ne produit aucun résultat significatif.