Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Detectando Zeus

2 views
Skip to first unread message

noSign

unread,
Oct 12, 2009, 5:13:04 PM10/12/09
to
Interesante articulo sobre Zeus, una Botnet de troyanos bancarios

http://blog.s21sec.com/2009/09/detectando-un-zeus.html


saludos
noSign


c.b.

unread,
Oct 13, 2009, 3:34:20 PM10/13/09
to
El Mon, 12 Oct 2009 23:13:04 +0200, noSign escribió:

> Interesante articulo sobre Zeus, una Botnet de troyanos bancarios

> http://blog.s21sec.com/2009/09/detectando-un-zeus.html

No sé si es una buena idea o_o
pero dejo un enlace a recomponer para seguir la difusión del botnet:

httpx zeustracker abuse.ch/monitor php?filter=online

Best regards
c.b.

c.b.

unread,
Oct 13, 2009, 4:29:41 PM10/13/09
to
El Mon, 12 Oct 2009 23:13:04 +0200, noSign escribió:

> Interesante articulo sobre Zeus, una Botnet de troyanos bancarios

> http://blog.s21sec.com/2009/09/detectando-un-zeus.html

Posiblemente, a pesar de las dificultades, un gran análisis de un
espécimen 'zeus':

En Process # 5
Store Created Files Section

encontrarás 'Source: C:\WINDOWS\system32\lowsec\user.ds'
donde 'lowsec' es una de las marcas de esta familia

y en Process # 7
# File System Changes...

'File: C:\WINDOWS\system32\sdra64.exe'
uno de los nombres más usados.

Descripción completa:
http://www.sunbeltsecurity.com/cwsandboxreport.aspx?
id=11205895&cs=1258C8A92538FA1B95B8E9EFE4FB64B8

Best regards
c.b.

la otra marca inconfundible: la creación del archivo
'File: C:\WINDOWS\system32\sdra64.exe'

noSign

unread,
Oct 14, 2009, 5:55:39 PM10/14/09
to
Ese "user.ds" ademas se encuentra oculto y cifrado RC4 y es el archivo de
configuracion.

pa que , pa que...

Un saludo
noSign


"c.b." <simequier...@despammed.com> escribi� en el mensaje
news:hb2nvk$stg$1...@news.eternal-september.org...
> El Mon, 12 Oct 2009 23:13:04 +0200, noSign escribi�:


>
> > Interesante articulo sobre Zeus, una Botnet de troyanos bancarios
>
> > http://blog.s21sec.com/2009/09/detectando-un-zeus.html
>

> Posiblemente, a pesar de las dificultades, un gran an�lisis de un
> esp�cimen 'zeus':


>
> En Process # 5
> Store Created Files Section
>

> encontrar�s 'Source: C:\WINDOWS\system32\lowsec\user.ds'


> donde 'lowsec' es una de las marcas de esta familia
>
> y en Process # 7
> # File System Changes...
>
> 'File: C:\WINDOWS\system32\sdra64.exe'

> uno de los nombres m�s usados.
>
> Descripci�n completa:


> http://www.sunbeltsecurity.com/cwsandboxreport.aspx?
> id=11205895&cs=1258C8A92538FA1B95B8E9EFE4FB64B8
>
> Best regards
> c.b.
>

> la otra marca inconfundible: la creaci�n del archivo

c.b.

unread,
Oct 15, 2009, 7:05:10 AM10/15/09
to
El Wed, 14 Oct 2009 23:55:39 +0200, noSign escribió:

> Ese "user.ds" ademas se encuentra oculto y cifrado RC4 y es el archivo
> de configuracion.

> pa que , pa que...

Estoy empezando a dudar de que 'Zeus' sea un único grupo. En España hay
algunas webs infectadas. Las que he podido rastrear lo han sido
seguramente por medio de un script utilizado para subir archivos,
generalmente en formato imagen (gif, jpg), pero que son en realidad
ejecutables, y que funciona desde un conocido servidor para estos
menesteres situado en .cz
Joomia es un sistema muy buscado para colocar los 'huevos'.
Los directorios ..\images\ esconden los regalos. Pero se descargan a
partir de otro 'malware' que ha 'tocado' el archivo 'hosts', te invita a
una actualización de algún producto Macromedia, parece que te dirige
hacia la dirección de Macromedia, pero resuelve hacia donde esté ubicado
el archivo infectado.

Best regards
c.b.

c.b.

unread,
Nov 2, 2009, 4:21:24 PM11/2/09
to

Joomla Jumi Component Backdoor Security Issue

The security issue is caused due to a backdoor in the application and can
be exploited to potentially execute arbitrary PHP code

http://secunia.com/advisories/37225/

0 new messages