Zeus on the Loose

Posted on May 13, 2011 by Simon Roses

[Español] Muchos conocerán a Zeus como el padre de los dioses en la mitología griega, pero Zeus también es un conocido malware con interesantes características. Se estima que este botnet es uno de los más activos con millones de infecciones por todo el mundo y que se puede contratar como un servicio o comprar en algunos foros por unos 10000 dólares con el código fuente. Es todo un lucrativo negocio.

[English] Many will know Zeus as the father of the gods in Greek mythology, but Zeus is also a well- known malware with interesting features. It is estimated that this botnet is one of the most active with million infections worldwide and it can be contracted as a service or purchased in various forums for 10000 USD with the source code. It’s a lucrative business.

En los últimos días han aparecido copias del código fuente en diversas webs en Internet y es fácil de encontrar con unas básicas habilidades de búsqueda, por lo que podemos imaginar en los próximos meses una explosión de botnets basados en Zeus.

In recent days copies of the source code have appeared on various websites on Internet and it’s easy to find with a few basic search skills, so we can imagine an explosion of Zeus-based botnets in the coming months.

En un análisis superficial del código fuente podemos encontrar una decente documentación de su instalación, configuración y uso, gracias 🙂

A superficial analysis of the source code we can find a decent documentation of installation, configuration and use, thank you 🙂

Lo cierto es que este malware es capaz de infectar varias versiones de Windows (XP, Vista y 7) con UAC activado y se controla desde un simple interfaz web escrito en php (C&C).

The truth is that this malware is able to infect multiple versions of Windows (XP, Vista and 7) with UAC turned on and is controlled from a simple web interface written in php (C&C).

Igual que hicimos con Stuxnet os pongo a continuación un mapa gráfico sobre Zeus en el cual podréis estudiar casi todas sus  capacidades.

Just as we did with Stuxnet I put below a graphic map on Zeus in which you can study almost all its features.

Composición de Zeus / Zeus Composition

 

 Analizando el gráfico podemos ver que Zeus es un complejo y sofisticado malware por lo que no sorprende su alto número de infecciones. Aunque Zeus no contiene exploits nos ofrece interesantes características como diversos canales de comunicación entre el Cliente y el Servidor con la posibilidad de encriptar mediante RC4 para saltarnos los mecanismos de seguridad típicos 😉 así como un amplio arsenal: sniffer, robo de certificados, cookies y contraseñas, infección de navegadores (IE e Firefox), key logger, opciones de scripting y más. No es de extrañar que este botnet sea ampliamente utilizado por el ciber-crimen y con éxito.

Analyzing the graph we can see that Zeus is a complex and sophisticated malware so its high number of infections is not surprising. Although Zeus does not contain exploits offers interesting features such as number of communication channels between the client and the server with the possibility to encrypt using RC4 to skip your typical security mechanisms 😉 as well as a broad arsenal: sniffer, stealing certificates, cookies and passwords, infection of browsers (IE and Firefox), key logger, options for scripting and more. Not strange that this botnet is widely and successfully used by cyber-crime.

Ahora que el código fuente es “público” podemos plantearnos diversas cuestiones:

  1. ¿Incluirán los framewoks de explotación algo parecido a Zeus? Hola Metasploit, sería genial 🙂
  2. ¿Veremos algún kit con código mezclado de Zeus y Stuxnet?
  3. Seguramente veremos una explosión de clones de Zeus en los próximos meses. ¿Cuál será su precio?
  4. ¿Uso de Zeus para la ciberguerra?

Now that the source code is “public” we can consider various issues:

  1. Will the exploitation frameworks include something like Zeus? Hello Metasploit, it would be great 🙂
  2. Will we see a kit mixing code from Zeus and Stuxnet?
  3. Surely we will see an explosion of clones of Zeus in the coming months. What will be their price?
  4. Use of Zeus for cyber war operations?

Aquí concluimos este análisis de Zeus, aunque personalmente seguiré estudiando su código con más detalle y quizás algún día pongamos un post más detallado. Imagino que todas las casas de anti-virus están como locos estudiando el código 😉

¿Y cuál es tu visión de Zeus para los próximos meses?

Here we conclude this analysis of Zeus although personally I will continue studying the code in more detail and perhaps one day publish a more in-depth post. I imagine that all anti-virus houses are looking at the code like crazy 😉

And what is your vision of Zeus for the coming months?

— Simon Roses Femerling

This entry was posted in Hacking, Microsoft, Pentest, Security and tagged , , , , , , , , , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.