• Tweet

ZeuS ha sido desde hace algún tiempo sinónimo de troyanos bancarios de todas las formas y tipos.

Algunos dicen que la atención que la comunidad de seguridad de la información le ha dado y los crecientes esfuerzos para superarlo han permitido que otros troyanos bancarios menos conocidos como Carberp, Butat y SpyEye eleven prominentemente el número de computadoras infectadas.

Pero los desarrolladores de ZeuS no están listos para dejar este lucrativo negocio sin dar la pelea. De acuerdo con investigadores de Trend Micro, nuevas variantes están utilizando el nuevo archivo infeccioso LICAT como una manera de hacer descargar al equipo una variedad de fuentes y ejecutarlas.

Después de incrustrarse en el Explorarer.exe, LICAT infecta todos los archivos que se ejecuten, cada vez que lo hace "calcula" al azar qué nombre de dominio será contactado para descargar otros ejemplares de malware como ZeuS.

Una vez que esta variante de ZeuS se ejecuta, el archivo infeccioso principal(LICAT)se descifra y ejecuta de nuevo, esto permite abrir puertos aleatorios, eliminar algunos registros y reunir información diversa del sistema completando la cadena de infección a través de la repetición del proceso de infección descrito:

Esta nueva variante de ZeuS también es empleada en varias técnicas para eludir la detección automática basada en heurística. Una versión diferente de compresión y un mayor número de importados de la API externa cambia la forma de un escáner heurístico al leer el archivo, por lo que es más difícil de detectar.

Adicionalmente, esta variante está diseñada para dificultar más el análisis del entorno de pruebas. “Su copia se descargó en la carpeta %Application Data%, la cual habría actualizado la información en su “correcta” ubicación. Si esta copia en particular, se ejecuta en una carpeta diferente, simplemente se dará por terminada", dicen los investigadores de Trend Micro, quienes todavía están indagando qué otros rutinas podrían ser detectadas.