Nombre:TR/Agent.fds.1
Descubierto:13/03/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:713.728 Bytes
Suma de control MD5:2e83508d94d90Edac1a78d69cb78a347
Versión del IVDF:7.01.02.164 - viernes 13 de marzo de 2009

 General Alias:
   •  Symantec: Infostealer.Banker.C
   •  Mcafee: PWS-Zbot trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Troj/Zbot-DX
   •  Panda: Trj/Sinowal.WJA
   •  Eset: Win32/Spy.Zbot.JF trojan
   •  Bitdefender: Trojan.Spy.ZBot.WI


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros  Se copia a sí mismo al siguiente lugar. Este archivo tiene un número indeterminado de bytes adjuntos, de forma que puede ser distinto al original:
   • %SYSDIR%\sdra64.exe



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\user.ds.lll




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://cashtor.net/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%configuración definida por el usuario%,%SYSDIR%\sdra64.exe,"



Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Nuevo valor:
   • "EnableFirewall"=dword:0x0

 Tecnología Rootkit Oculta las siguientes:
– Su propio fichero


Método empleado:
    • Oculto en Windows API
    • Hook the Import Address Table (IAT) (es)

Engancha las siguientes funciones API:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes 13 de octubre de 2009
Descripción actualizada por Andrei Ivanes el jueves 15 de octubre de 2009

Volver . . . .