Name:TR/Spy.ZBot.fql.6
Entdeckt am:27/11/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:908.288 Bytes
MD5 Prüfsumme:7a2efb63c47daa1b554f04effc6d6bac
IVDF Version:7.01.00.146 - Donnerstag, 27. November 2008

 General Aliases:
   •  Symantec: Packed.Generic.196
   •  Mcafee: PWS-Zbot.gen.c trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.fql
   •  F-Secure: W32/Trojan3.EP
   •  Panda: Trj/Sinowal.VVF
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zeus.1.Gen


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Lädt eine Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien  Es wird eine Kopie seiner selbst erstellt. Desweiteren werden zufällige Bytes angehängt welche letztendlich dazu führen, dass sie nicht mehr mit der Originaldatei identisch ist:
   • %SYSDIR%\twext.exe



Es wird folgende Datei erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\twain_32\local.ds
   • %SYSDIR%\twain_32\user.ds




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://popokimoki.com/los/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"



Folgender Registryschlüssel wird geändert:

Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Neuer Wert:
   • "EnableFirewall"=dword:0x0

 Rootkit Technologie Versteckt folgendes:
– Eigene Datei


Eingesetzte Methode:
    • Unsichtbar von Windows API
    • Hook der Import Address Table (IAT)

Klinkt sich in folgende API-Funktionen ein:
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> NtCreateThread
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 12. Oktober 2009
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 14. Oktober 2009

zurück . . . .