Nombre:TR/Spy.ZBot.fql.6
Descubierto:27/11/2008
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:908.288 Bytes
Suma de control MD5:7a2efb63c47daa1b554f04effc6d6bac
Versión del IVDF:7.01.00.146 - jueves 27 de noviembre de 2008

 General Alias:
   •  Symantec: Packed.Generic.196
   •  Mcafee: PWS-Zbot.gen.c trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.fql
   •  F-Secure: W32/Trojan3.EP
   •  Panda: Trj/Sinowal.VVF
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zeus.1.Gen


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Descarga un fichero
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros  Se copia a sí mismo al siguiente lugar. Este archivo tiene un número indeterminado de bytes adjuntos, de forma que puede ser distinto al original:
   • %SYSDIR%\twext.exe



Crea el siguiente fichero:

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\twain_32\local.ds
   • %SYSDIR%\twain_32\user.ds




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://popokimoki.com/los/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"



Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Nuevo valor:
   • "EnableFirewall"=dword:0x0

 Tecnología Rootkit Oculta las siguientes:
– Su propio fichero


Método empleado:
    • Oculto en Windows API
    • Hook the Import Address Table (IAT) (es)

Engancha las siguientes funciones API:
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> NtCreateThread
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el lunes 12 de octubre de 2009
Descripción actualizada por Andrei Ivanes el miércoles 14 de octubre de 2009

Volver . . . .