Name:TR/Spy.ZBot.qca
Entdeckt am:23/03/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:621.056 Bytes
MD5 Prüfsumme:439e41027e08b550311bc6b3cf9f802c
IVDF Version:7.01.02.201 - Montag, 23. März 2009

 General Aliases:
   •  Symantec: Infostealer.Banker.C
   •  Mcafee: PWS-Zbot trojan !!!
   •  Sophos: Mal/EncPk-HP
   •  Panda: Trj/Sinowal.WJB
   •  Eset: Win32/Spy.Zbot.MV
   •  Bitdefender: Backdoor.Bot.96370


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien  Es wird eine Kopie seiner selbst erstellt. Desweiteren werden zufällige Bytes angehängt welche letztendlich dazu führen, dass sie nicht mehr mit der Originaldatei identisch ist:
   • %SYSDIR%\sdra64.exe



Es wird folgende Datei erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\user.ds.lll




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://affioro.com/aff22/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%Einstellungen des Benutzers%,%SYSDIR%\sdra64.exe,"



Folgender Registryschlüssel wird geändert:

Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Neuer Wert:
   • "EnableFirewall"=dword:0x0

 Rootkit Technologie Versteckt folgendes:
– Eigene Datei


Eingesetzte Methode:
    • Unsichtbar von Windows API
    • Hook der Import Address Table (IAT)

Klinkt sich in folgende API-Funktionen ein:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 13. Oktober 2009
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 15. Oktober 2009

zurück . . . .