Cómo verificar si la URL / IP pertenece a un zeus bot

Siempre que esté buscando información ya analizada, y su pregunta no es sobre las formas técnicas para identificar un servidor Zeus C & C, puede buscar en los siguientes lugares:

• malwaredomainlist.com
• malwaredb.malekal.com
• exposedbotnets.com
• scumware.org
• malc0de.com
• cybercrime-tracker.net
• vxvault.siri-urz.net
• nothink.org
• botnet-tracker.blogspot.ch
• atlas.arbor.net
• marworm.com
• zeustracker.abuse.ch (rastreador de la red de bots de Zeus)
• alienvault.com

Tenga en cuenta que también puede usar esos lugares para buscar muchas otras amenazas / actividades maliciosas que Zeus.

Primero, puede consultar la lista de abuse.ch zeustracker .

En segundo lugar, tenga en cuenta que la lista de abuse.ch es la fuente principal de la lista de zeus de iblocklist.com . También puede consultar algunas de las muchas otras listas de malware en iblocklist.com para buscar otros sitios de malware.

Por separado, puede verificar en qué se basa la determinación de su dispositivo de seguridad: ¿está utilizando una lista (quizás una de estas)? Si está utilizando una lista, ¿cuál y con qué frecuencia la actualiza? ¿Está utilizando el análisis de tráfico (como lo haría Snort)?

Cuando recibo alertas de una posible infección por zeus de los dispositivos de seguridad, esto es lo que normalmente hago:

1. compruebe la URL con zeustracker
2. si la URL no está en la base de datos de zeustracker, consulte virustotal
3. si hay detecciones, es probable que se trate de una conexión maliciosa
4. Ejecuta un tcpdump en la conexión para verificar los paquetes

zeustracker tiene una guía que muestra cómo identificar el malware zeus, échale un vistazo