Nombre:TR/Spy.ZBot.9164.1
Descubierto:15/10/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:91.648 Bytes
Suma de control MD5:642ff076c8bc5b3be5b9e853337d1820
Versión del IVDF:7.01.06.111 - jueves 15 de octubre de 2009

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  F-Secure: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Mal/Zbot-R
   •  Grisoft: Win32/Cryptor


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\sdra64.exe



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\user.ds
   • %SYSDIR%\user.ds.dll
   • %SYSDIR%\local.ds




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://195.93.208.106/**********/ip1.gif
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


Asunto:
El siguiente:
   • A new settings file for the %dirección de correo del
      destinatario%



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Dear user of the %dominio de los destinatarios% mailing service!
     
     We are informing you that because of the security upgrade of the mailing service your mailbox (%dirección de correo del destinatario%) settings were changed. In order to apply the new set of settings click on the following link:
     
     http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********
     
     Best regards, %dominio de los destinatarios% Technical Support.
     



El mensaje de correo se ve así:


 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Su propio fichero


Método empleado:
    • Oculto en Windows API
    • Hook the Import Address Table (IAT) (es)

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Thomas Wegele el jueves 15 de octubre de 2009
Descripción actualizada por Thomas Wegele el jueves 15 de octubre de 2009

Volver . . . .