Nom:TR/Spy.ZBot.DPE
La date de la découverte:05/08/2008
Type:Cheval de Troie
Sous type:Spy
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:59.904 Octets
Somme de contrôle MD5:606ab42e4c906f933bc9c5ab62b798d9
Version IVDF:7.00.05.213 - mardi 5 août 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  F-Secure: Trojan-PSW:W32/Zbot.FO
   •  Sophos: Troj/Agent-HJG
   •  Eset: Win32/Spy.Agent.NES trojan
   •  Bitdefender: Trojan.Agent.AJLI


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\ntos.exe



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://dr-mahmoud.com/**********.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\1.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Small.zou

 Registre La clé de registre suivante est changée:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   L'ancienne valeur:
   • "userinit"="%SYSDIR%\userinit.exe,"
   La nouvelle valeur:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


Sujet:
Le suivant:
   • Rechnung N%nombre%

Le corps de l'email est un des suivants:

   • Sehr geehre Damen und Herren,
     Ihr Auftrag Nr. SP7848895 wurde erfullt.
     Ein Betrag von 6536.02 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Paypalabbuchung ” angezeigt.
     Sie finden die Details zu der Rechnung im Anhang
     
     PayPal (Europe)
     S.158; r.l. & Cie, S.C.A.
     50-40 Boulevard Royal
     L-7672 Luxembourg
     
     Hochachtungsvoll,
     Vertretungsberechtigter: Armand Kruse
     Handelsregisternummer: R.C.S. B 285 380
     

   • Sehr geehrte Kunden,
     Ihr Auftrag Nr. SP8742024 wurde erfullt.
     Ein Betrag von 6127.53 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Paypalabbuchung " angezeigt.
     Sie finden die Details zu der Rechnung im Anhang
     
     PayPal (Europe)
     S.392; r.l. & Cie, S.C.A.
     63-88 Boulevard Royal
     L-2082 Luxembourg
     
     Mit freundlichen Grussen,
     Vertretungsberechtigter: Joanna Muller
     Handelsregisternummer: R.C.S. B 922 819
     


Pièce jointe:
Le nom de fichier de l'attachement est:
   • REC719271.zip

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Porte dérobée Le port suivant est ouvert:

– svchost.exe sur un port TCP aléatoire


Serveur de contact:
Le suivant:
   • http://ahleinaks.ru/**********/millionertest.bin

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\ntos.exe

    Nom du processus:
   • winlogon.exe


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Alexander Neth le mardi 5 août 2008
Description mise à jour par Philipp Wolf le mardi 5 août 2008

Retour . . . .