Cómo verificar si la URL / IP pertenece a un zeus bot

4

Tengo un conjunto de direcciones URL que podrían ser servidores de Zeus hosts / C & C ya que mi dispositivo de seguridad lo dice. ¿Hay alguna manera de comprobar si estos realmente pertenecen a Zeus?

    
pregunta DaTaBomB 21.02.2014 - 04:08
fuente

3 respuestas

8

Siempre que esté buscando información ya analizada, y su pregunta no es sobre las formas técnicas para identificar un servidor Zeus C & C, puede buscar en los siguientes lugares:

Tenga en cuenta que también puede usar esos lugares para buscar muchas otras amenazas / actividades maliciosas que Zeus.

    
respondido por el ack__ 21.02.2014 - 08:11
fuente
5

Primero, puede consultar la lista de abuse.ch zeustracker .

En segundo lugar, tenga en cuenta que la lista de abuse.ch es la fuente principal de la lista de zeus de iblocklist.com . También puede consultar algunas de las muchas otras listas de malware en iblocklist.com para buscar otros sitios de malware.

Por separado, puede verificar en qué se basa la determinación de su dispositivo de seguridad: ¿está utilizando una lista (quizás una de estas)? Si está utilizando una lista, ¿cuál y con qué frecuencia la actualiza? ¿Está utilizando el análisis de tráfico (como lo haría Snort)?

    
respondido por el Anti-weakpasswords 21.02.2014 - 06:43
fuente
1

Cuando recibo alertas de una posible infección por zeus de los dispositivos de seguridad, esto es lo que normalmente hago:

  1. compruebe la URL con zeustracker
  2. si la URL no está en la base de datos de zeustracker, consulte virustotal
  3. si hay detecciones, es probable que se trate de una conexión maliciosa
  4. Ejecuta un tcpdump en la conexión para verificar los paquetes

zeustracker tiene una guía que muestra cómo identificar el malware zeus, échale un vistazo

    
respondido por el hoa 21.02.2014 - 08:43
fuente

Lea otras preguntas en las etiquetas