Nume:TR/Spy.ZBot.fql.6
Descoperit pe data de:27/11/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:908.288 Bytes
MD5:7a2efb63c47daa1b554f04effc6d6bac
Versiune IVDF:7.01.00.146 - jeudi 27 novembre 2008

 General Alias:
   •  Symantec: Packed.Generic.196
   •  Mcafee: PWS-Zbot.gen.c trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.fql
   •  F-Secure: W32/Trojan3.EP
   •  Panda: Trj/Sinowal.VVF
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zeus.1.Gen


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Descarca un fisier
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere  Se copiaza in urmatoarea locatie (fisierul are atasate la sfarsit caractere aleatorii si se diferentiaza astfel de original):
   • %SYSDIR%\twext.exe



Este creat fisierul:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\twain_32\local.ds
   • %SYSDIR%\twain_32\user.ds




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://popokimoki.com/los/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"



Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Noua valoare:
   • "EnableFirewall"=dword:0x0

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriul fisier


Metoda folosita:
    • Ascuns de Windows API
    • Hook the Import Address Table (IAT)

Se ataseaza la urmatoarele functii API:
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> NtCreateThread
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le lundi 12 octobre 2009
Description mise à jour par Andrei Ivanes le mercredi 14 octobre 2009

Retour . . . .