Name:TR/Spy.ZBot.9164.1
Entdeckt am:15/10/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:91.648 Bytes
MD5 Prüfsumme:642ff076c8bc5b3be5b9e853337d1820
IVDF Version:7.01.06.111 - Donnerstag, 15. Oktober 2009

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  F-Secure: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Mal/Zbot-R
   •  Grisoft: Win32/Cryptor


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sdra64.exe



Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\user.ds
   • %SYSDIR%\user.ds.dll
   • %SYSDIR%\local.ds




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://195.93.208.106/**********/ip1.gif
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


Betreff:
Folgende:
   • A new settings file for the %Emailadresse des Empfängers%



Body:
Der Body der Email ist folgender:

   • Dear user of the %Domäne des Empfängers% mailing service!
     
     We are informing you that because of the security upgrade of the mailing service your mailbox (%Emailadresse des Empfängers%) settings were changed. In order to apply the new set of settings click on the following link:
     
     http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********
     
     Best regards, %Domäne des Empfängers% Technical Support.
     



Die Email sieht wie folgt aus:


 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Versteckt folgendes:
– Eigene Datei


Eingesetzte Methode:
    • Unsichtbar von Windows API
    • Hook der Import Address Table (IAT)

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Donnerstag, 15. Oktober 2009
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 15. Oktober 2009

zurück . . . .