0 оценок0% нашли этот документ полезным (0 голосов)
164 просмотров2 страницы
SpyEye es un kit de malware orientado a crear botnets que se ofreció por primera vez en diciembre de 2009 en foros rusos de la dark web. Incluía características como la capacidad de detectar y sabotear al troyano Zeus, y podía comprometer versiones de Windows desde 2000 hasta 7. El troyano genera archivos y claves de registro para ocultarse y ejecutarse de forma persistente, además de capturar información de inicio de sesión, formularios y pulsaciones de teclado a través de varias API de Windows.
SpyEye es un kit de malware orientado a crear botnets que se ofreció por primera vez en diciembre de 2009 en foros rusos de la dark web. Incluía características como la capacidad de detectar y sabotear al troyano Zeus, y podía comprometer versiones de Windows desde 2000 hasta 7. El troyano genera archivos y claves de registro para ocultarse y ejecutarse de forma persistente, además de capturar información de inicio de sesión, formularios y pulsaciones de teclado a través de varias API de Windows.
Авторское право:
Attribution Non-Commercial (BY-NC)
Доступные форматы
Скачайте в формате PDF, TXT или читайте онлайн в Scribd
SpyEye es un kit de malware orientado a crear botnets que se ofreció por primera vez en diciembre de 2009 en foros rusos de la dark web. Incluía características como la capacidad de detectar y sabotear al troyano Zeus, y podía comprometer versiones de Windows desde 2000 hasta 7. El troyano genera archivos y claves de registro para ocultarse y ejecutarse de forma persistente, además de capturar información de inicio de sesión, formularios y pulsaciones de teclado a través de varias API de Windows.
Авторское право:
Attribution Non-Commercial (BY-NC)
Доступные форматы
Скачайте в формате PDF, TXT или читайте онлайн в Scribd
Sergi Roselló León – Consultor de seguridad IT avanzada. sergirosello.
com
SpyEye - El ojo que todo lo ve.
Hablar del actual escenario del crimeware mundial implica considerar a
SpyEye. Tras este sugerente nombre, en el cual los conspiranoicos podrán encontrar indicios para suponer algún tipo de maniobra de control mundial por parte de los Illuminati, se esconde otro kit de malware orientado al despliegue y administración de botnets.
Será en Diciembre de 2009, cuando en determinados foros del underground
ruso se empiezan a detectar mensajes ofreciendo el kit de SpyEye. Según las fuentes consultadas, el kit se empieza a ofertar con un precio de salida de entre 500 y 600 dolares. A priori se anuncia como una alternativa al archiconocido Zeus, ya que presenta ciertas similitudes, como por ejemplo la de ejecutarse en ring0 (modo usuario). Entre sus características está la de “atentar contra la competencia”, siendo esto en su día una innovación dentro de las opciones presentes en el mercado del crimeware. Dicho de otra manera, el susodicho SpyEye incorpora entre otros un detector de Zeus, que a su vez sirve para malograr la presencia de este otro troyano en el sistema.
SpyEye utiliza técnicas similares a la de Zeus, a partir de una lista de
sitios y mediante el clásico uso de hooks, intercepta peticiones susceptibles de contener credenciales. Así, SpyEye intenta robar las credenciales robadas por Zeus y enviarlas a su propio servidor, una manera inteligente de aprovechar la lista de sitios web de Zeus.
Todo esto que hemos comentado hace referencia al escenario que se
contemplaba a la salida al mercado de SpyEye, a día de hoy se habla de trabajo conjunto entre el equipo de desarrollo de Zeus y el de SpyEye, lo cual dista mucho del anterior escenario.
Actualmente SpyEye está desarrollado para poder comprometer las versiones
desde Windows 2000 hasta Windows 7. Según determinados fabricantes de productos antimalware, existen versiones indetectables por muchos motores antivirus.
A modo de información técnica, comentar que el troyano genera los
Además de la clásica clave de registro Run para garantizar su ejecución
durante el inicio del sistema:
Añade el valor: “cleansweep.exe”
Data:“%SystemDrive%\cleansweep.exe\cleansweep.exe” Subkey:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Durante su ejecución crea el mutex “__CLEANSWEEP__” para garantizar una única ejecución del troyano en el sistema.
Inyecta código en los procesos en ejecución y evita la inyección de
código en los siguientes procesos del sistema:
system, smss.exe , csrss.exe y cleansweep.exe (ejecutable del troyano)
Tal como hemos comentado con anterioridad, Spyeye utiliza un rootkit en
modo ring0 (modo usuario) que interactúa con las siguientes API para ocultar sus archivos, directorio y modificaciones del registro: