Nume:TR/Spy.Agent.42496
Descoperit pe data de:04/09/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:42.496 Bytes
Versiune VDF:6.39.01.84
Versiune IVDF:6.39.01.87 - mardi 4 septembre 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Zbot.z
   •  F-Secure: Trojan-PSW.Win32.Zbot.z
   •  Panda: Trj/Wsnpoem.JA


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere
   • Descarca un fisier malware
   • Descarca fisiere malware
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– %SYSDIR%\wsnpoem\audio.dll Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • Used for stolen data storage.

– %SYSDIR%\wsnpoem\video.dll

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • UID = %numele computerului%_%numar hexazecimal%

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer]
   • "{F710FA10-2031-3106-8872-93A2B5C5C620}"=hex:f7,09,f2,0d

 Terminarea proceselor Lista cu procesele oprite:
   • outpost.exe
   • zlclient.exe


 Backdoor Deschide porturile:

– svchost.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,
– svchost.exe port TCP aleator pentru a functiona ca server proxy Socks 5,
– svchost.exe port TCP aleator pentru a oferi functionalitate de backdoor.


Servere contactate:

   • http://**********/.c/o/cfg.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Parole retinute
    • Numele sistemului
    • Utilizatorul curent
    • Adresa IP
    • ID-ul platformei
    • Informatiile colectate, descrise in sectiunea
    • Informatii despre sistemul de operare


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier
    • terminare proces malware
    • Face upload la un fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole stocate, folosite de functia AutoComplete

– Monitorizeaza reteaua folosind un sniffer si cauta urmatorul sir de caractere:
   • CustomerServiceMenuEntryPoint?custAction=75

– O rutina de logare este pornita dupa ce un site este vizitat:
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

– Face captura la:
    • Informatii de logare

 Injectarea codului malware in alte procese     Unul din urmatoarele procese:
   • winlogon.exe
   • svchost.exe


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • __SYSTEM__91C38905__

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriile fisiere
– Propriile chei de registru


Metoda folosita:
    • Hook the Import Address Table (IAT)

Se ataseaza la urmatoarele functii API:
   • NtQueryDirectoryFile
   • GetMessageA
   • GetMessageW
   • PeekMessageW
   • PeekMessageA
   • GetClipboardData

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Ernest Szocs le lundi 19 novembre 2007
Description mise à jour par Ernest Szocs le lundi 19 novembre 2007

Retour . . . .