Sergi Roselló León – Consultor de seguridad IT avanzada. sergirosello.

com

SpyEye - El ojo que todo lo ve.

Hablar del actual escenario del crimeware mundial implica considerar a

SpyEye. Tras este sugerente nombre, en el cual los conspiranoicos podrán
encontrar indicios para suponer algún tipo de maniobra de control mundial
por parte de los Illuminati, se esconde otro kit de malware orientado al
despliegue y administración de botnets.

Será en Diciembre de 2009, cuando en determinados foros del underground

ruso se empiezan a detectar mensajes ofreciendo el kit de SpyEye. Según
las fuentes consultadas, el kit se empieza a ofertar con un precio de
salida de entre 500 y 600 dolares. A priori se anuncia como una
alternativa al archiconocido Zeus, ya que presenta ciertas similitudes,
como por ejemplo la de ejecutarse en ring0 (modo usuario). Entre sus
características está la de “atentar contra la competencia”, siendo esto
en su día una innovación dentro de las opciones presentes en el mercado
del crimeware. Dicho de otra manera, el susodicho SpyEye incorpora entre
otros un detector de Zeus, que a su vez sirve para malograr la presencia
de este otro troyano en el sistema.

SpyEye utiliza técnicas similares a la de Zeus, a partir de una lista de

sitios y mediante el clásico uso de hooks, intercepta peticiones
susceptibles de contener credenciales. Así, SpyEye intenta robar las
credenciales robadas por Zeus y enviarlas a su propio servidor, una
manera inteligente de aprovechar la lista de sitios web de Zeus.

Todo esto que hemos comentado hace referencia al escenario que se

contemplaba a la salida al mercado de SpyEye, a día de hoy se habla de
trabajo conjunto entre el equipo de desarrollo de Zeus y el de SpyEye, lo
cual dista mucho del anterior escenario.

Actualmente SpyEye está desarrollado para poder comprometer las versiones

desde Windows 2000 hasta Windows 7. Según determinados fabricantes de
productos antimalware, existen versiones indetectables por muchos motores
antivirus.

A modo de información técnica, comentar que el troyano genera los

siguientes ficheros en el sistema:

%SystemDrive%\cleansweep.exe\cleansweep.exe
%SystemDrive%\cleansweep.exe\config.bin
%SystemDrive%\cleansweep.exe\cleansweepupd.exe
%TempFolder%\upd1.tmp

Además de la clásica clave de registro Run para garantizar su ejecución

durante el inicio del sistema:

Añade el valor: “cleansweep.exe”

Data:“%SystemDrive%\cleansweep.exe\cleansweep.exe”
Subkey:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Durante su ejecución crea el mutex “__CLEANSWEEP__” para garantizar una
única ejecución del troyano en el sistema.

Inyecta código en los procesos en ejecución y evita la inyección de

código en los siguientes procesos del sistema:

system, smss.exe , csrss.exe y cleansweep.exe (ejecutable del troyano)

Tal como hemos comentado con anterioridad, Spyeye utiliza un rootkit en

modo ring0 (modo usuario) que interactúa con las siguientes API para
ocultar sus archivos, directorio y modificaciones del registro:

NtQueryDirectoryFile, NtVdmControl, NtEnumerateValueKey

Para finalizar, destacar que el troyano también interactúa con las

siguientes API del sistema para capturar la información de login, datos
de formularios http y pulsaciones de teclado:

TranslateMessage, NtResumeThread, LdrLoadDll, InternetCloseHandle,

HttpSendRequestA, HttpSendRequestW, PR_Write, send.

Sergi Roselló León – Consultor de seguridad IT avanzada.

sergirosello.com