Nom:TR/Spy.Agent.42496
La date de la découverte:04/09/2007
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:42.496 Octets
Version VDF:6.39.01.84
Version IVDF:6.39.01.87 - mardi 4 septembre 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-PSW.Win32.Zbot.z
   •  F-Secure: Trojan-PSW.Win32.Zbot.z
   •  Panda: Trj/Wsnpoem.JA


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers
   • Il télécharge un fichier malveillant
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\ntos.exe



Les fichiers suivants sont créés:

%SYSDIR%\wsnpoem\audio.dll Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Used for stolen data storage.

%SYSDIR%\wsnpoem\video.dll

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • UID = %le nom de l'ordinateur%_%numéro hexadécimal%

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer]
   • "{F710FA10-2031-3106-8872-93A2B5C5C620}"=hex:f7,09,f2,0d

 Arrêt de processus: La liste des processus qui sont terminés:
   • outpost.exe
   • zlclient.exe


 Porte dérobée Les ports suivants sont ouverts:

– svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.
– svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 5.
– svchost.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée


Serveur de contact:
Le suivant:
   • http://**********/.c/o/cfg.bin

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Nom de l'ordinateur
    • Utilisateur courant
    • L'adresse IP:
    • L'ID de la plateforme
    • Les informations rassemblées, décrites dans la section
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Terminer le Malware
    • Charger un fichier

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete

– Il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • CustomerServiceMenuEntryPoint?custAction=75

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

– Il capture:
    • Information du compte

 L'injection du code viral dans d'autres processus     Un des processus suivants::
   • winlogon.exe
   • svchost.exe


 Informations divers Mutex:
Il crée le Mutex suivant:
   • __SYSTEM__91C38905__

 La technologie Rootkit Il cache les suivants:
– Ses propres fichiers
– Ses propres clés de registre


La méthode utilisée:
    • Accrochez le Import Address Table (IAT)

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • NtQueryDirectoryFile
   • GetMessageA
   • GetMessageW
   • PeekMessageW
   • PeekMessageA
   • GetClipboardData

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Ernest Szocs le lundi 19 novembre 2007
Description mise à jour par Ernest Szocs le lundi 19 novembre 2007

Retour . . . .