• Tweet

Recientemente ha aparecido un archivo en varios sitios en Internet cuyo contenido resulta ser el código fuente del troyano bancario Zeus (versión 2.0.8.9). En entrevista, el asociado de “The H” del portal heise de seguridad y experto en malware, Thorsten Holz, confirmó el descubrimiento y dijo que tenía conocimiento de este archivo desde hace más de dos semanas. Ahora la empresa de seguridad de Tecnologías de la Informaciín (TI) CSIS ha documentado el descubrimiento en un post de un blog. Holz consideró que para el portal Heise de seguridad, el archivo RAR que se encuentra disponible en la red es auténtico y CSIS ha confirmado que el código fuente del troyano correspondiente al panel de PHP se puede compilar. El archivo también contiene el constructor que se requiere para la generación del ejecutable del software malicioso.

No está claro qué hizo circular el código fuente y por qué. Uno de los archivos en circulación está protegido por una contraseña de un proveedor de antivirus, la cula tienden a usar a la hora de sustituir los virus en los archivos. Si un proveedor de antivirus filtró accidentalmente el código fuente es desconocido. Otros archivos están protegidos por la contraseña “zeus”. Que el código haya sido filtrado es también sorprendente, ya que primero salió a la venta en un foro clandestino hace tan sólo menos de dos meses. Mientras, el autor de Zeus ya vendió un paquete completo en aproximadamente $10,000, el experto en seguridad, Aviv Raff, estimó que un precio de $100,000 por el código era realista. Sin embargo, sumas considerablemente más pequeñas hasta de cuatro cifras es más probable que sean codiciadas.

La disponibilidad del código fuente podría otorgar un segundo aire a Zeus, después de que recientemente se encontrara relativamente tranquilo este malware.  Según se informa, el desarrollador de Zeus, “Slavik”, entregó el año pasado su código fuente completo de SpyEye elaborado por “Harderman” y se retiró del desarrollo de Zeus. RSA confirmó que SpyEye 1.3 contiene los componentes del código fuente de Zeus. Sin embargo, Kaspersky mencionó que una nueva variante desconocida de Zeus había sido descubierta en marzo, Según el blog de Kaspersky, esto es una indicación de que un desarrollador ha proporcionado soporte al cliente mediante la integración de las nuevas características del troyano.

Es muy probable que diferentes programadores tomaran ahora el código disponible de Zeus. Basado en el código fuente, será fácil para ellos crear y distribuir nuevas versiones. Sin embargo, como los proveedores de antivirus  también se han familiarizado con la base del código fuente durante algún tiempo, una nueva generación del troyano debe ser presa fácil para el escaneo de cualquier antivirus.