Name:TR/Agent.fds.1
Entdeckt am:13/03/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:713.728 Bytes
MD5 Prüfsumme:2e83508d94d90Edac1a78d69cb78a347
IVDF Version:7.01.02.164 - Freitag, 13. März 2009

 General Aliases:
   •  Symantec: Infostealer.Banker.C
   •  Mcafee: PWS-Zbot trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Troj/Zbot-DX
   •  Panda: Trj/Sinowal.WJA
   •  Eset: Win32/Spy.Zbot.JF trojan
   •  Bitdefender: Trojan.Spy.ZBot.WI


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien  Es wird eine Kopie seiner selbst erstellt. Desweiteren werden zufällige Bytes angehängt welche letztendlich dazu führen, dass sie nicht mehr mit der Originaldatei identisch ist:
   • %SYSDIR%\sdra64.exe



Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\user.ds.lll




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://cashtor.net/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%Einstellungen des Benutzers%,%SYSDIR%\sdra64.exe,"



Folgender Registryschlüssel wird geändert:

Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Neuer Wert:
   • "EnableFirewall"=dword:0x0

 Rootkit Technologie Versteckt folgendes:
– Eigene Datei


Eingesetzte Methode:
    • Unsichtbar von Windows API
    • Hook der Import Address Table (IAT)

Klinkt sich in folgende API-Funktionen ein:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 13. Oktober 2009
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 15. Oktober 2009

zurück . . . .