Nom:TR/Spy.ZBot.qca
La date de la découverte:23/03/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:621.056 Octets
Somme de contrôle MD5:439e41027e08b550311bc6b3cf9f802c
Version IVDF:7.01.02.201 - lundi 23 mars 2009

 Général Les alias:
   •  Symantec: Infostealer.Banker.C
   •  Mcafee: PWS-Zbot trojan !!!
   •  Sophos: Mal/EncPk-HP
   •  Panda: Trj/Sinowal.WJB
   •  Eset: Win32/Spy.Zbot.MV
   •  Bitdefender: Backdoor.Bot.96370


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers  Il produit une copie de lui même. Et en plus des bytes incidentaires vont être attaches lesquelles font à la fin qu’il ne soit plus identique avec le fichier original.
   • %SYSDIR%\sdra64.exe



Le fichier suivant est créé:

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\user.ds.lll




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://affioro.com/aff22/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%réglages définis par l'utilisateur%,%SYSDIR%\sdra64.exe,"



La clé de registre suivante est changée:

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   La nouvelle valeur:
   • "EnableFirewall"=dword:0x0

 La technologie Rootkit Il cache les suivants:
– Son propre fichier


La méthode utilisée:
    • Caché de Windows API
    • Accrochez le Import Address Table (IAT)

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mardi 13 octobre 2009
Description mise à jour par Andrei Ivanes le jeudi 15 octobre 2009

Retour . . . .