Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 22 de febrero de 2009

Zeus Botnet. Masiva propagación de su troyano. Segunda parte

En una primera parte pudimos contar muy por arriba de qué se trata Zeus, junto a una pequeña lista de dominios y direcciones IP comprometidas con el troyano y muy útiles para bloquearlas.

El siguiente mapa muestra información relacionada a cada host infectado por Zeus que es identificado por intermedio de un punto. Aunque a simple vista, la información que nos muestra el mapa puede dar la sensación de insuficiente, hay que tener en cuenta que cada uno de los nodos puede representar varias direcciones IP o dominios alojados en un mismo servidor, con lo cual el porcentaje de equipos infectados se potencia.


Aunque la lista es muy pequeña comparada con la cantidad de dominios que alojan a Zeus, es sumamente importante que los administradores bloqueen los mismos en su estructura de red para evitar problemas de infección.

85.17.139.189 investmentguard.co.uk/foto/body_bg_akh10 .jpg

85.17.143.132 mainssrv.com/pic/timeats .jpg

91.197.130.39 goldarea.biz/bot .exe

92.48.119.151 allmusicsshop.com/bnngJPdf7772Nd .exe

92.62.100.14 chinkchoi.net/3n539@32d .exe

92.62.101.54 drupa1.com/s/fuck .exe

92.62.101.54 ltnc.info/utility/lease/software/update/config .bin

92.62.101.54 tdxs.info/utility/backup/config .bin

94.103.80.150 zone-game.org/ldr .exe

94.75.214.18 vokcrash.com/144/load .php

196.2.198.243/wweb11/zdr .exe

196.2.198.243/xwweb/zdb .exe

58.65.236.41/z .exe

67.225.177.120/moon/cfg1.bin

78.26.179.201/matt/loader .exe

91.211.65.122/~nostr551te/endive/dogi .exe

92.241.164.198/~cadazeu/testbot/ldr .exe

92.62.101.60/g1/data

92.62.101.60/g2/data

92.62.101.60/g2/run .exe

94.247.3.211/ddk/audio

94.247.3.211/rot/load .exe

94.247.3.211/rot/zlom

freecastingus.cn/z12/config .bin

freecastingus.cn/z12/loader .exe

http://ltnc.info/utility/lease/software/update/config .bin

http://tdxs.info/utility/backup/config .bin


Por otro lado, cada una de los dominios, junto a su dirección IP, representan un host infectado o servidor vulnerado.

Teniendo en cuenta que los medios de propagación e infección empleados por Zeus son, el correo electrónico y técnicas de Drive-by-Download a través de diferentes exploit donde uno de los más conocidos es Luckysploit, o sitios vulnerados a los cuales se implantan malware kits como ElFiesta; resulta sumamente importante bloquear los dominios y direcciones IP que he expuesto.


Información relacionada

Zeus Botnet. Masiva propagación de su troyano. Parte 1

Lista de dominios comprometidos por Zeus
Lista de IPs comprometidas por Zeus


# pistus

Ver más