Nom:TR/Spy.ZBot.fql.6
La date de la découverte:27/11/2008
Type:Cheval de Troie
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:908.288 Octets
Somme de contrôle MD5:7a2efb63c47daa1b554f04effc6d6bac
Version IVDF:7.01.00.146 - jeudi 27 novembre 2008

 Général Les alias:
   •  Symantec: Packed.Generic.196
   •  Mcafee: PWS-Zbot.gen.c trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.fql
   •  F-Secure: W32/Trojan3.EP
   •  Panda: Trj/Sinowal.VVF
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zeus.1.Gen


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Il télécharge un fichier
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers  Il produit une copie de lui même. Et en plus des bytes incidentaires vont être attaches lesquelles font à la fin qu’il ne soit plus identique avec le fichier original.
   • %SYSDIR%\twext.exe



Le fichier suivant est créé:

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\twain_32\local.ds
   • %SYSDIR%\twain_32\user.ds




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://popokimoki.com/los/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"



La clé de registre suivante est changée:

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   La nouvelle valeur:
   • "EnableFirewall"=dword:0x0

 La technologie Rootkit Il cache les suivants:
– Son propre fichier


La méthode utilisée:
    • Caché de Windows API
    • Accrochez le Import Address Table (IAT)

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> NtCreateThread
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le lundi 12 octobre 2009
Description mise à jour par Andrei Ivanes le mercredi 14 octobre 2009

Retour . . . .