Nume:TR/Spy.ZBot.qca
Descoperit pe data de:23/03/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:621.056 Bytes
MD5:439e41027e08b550311bc6b3cf9f802c
Versiune IVDF:7.01.02.201 - lundi 23 mars 2009

 General Alias:
   •  Symantec: Infostealer.Banker.C
   •  Mcafee: PWS-Zbot trojan !!!
   •  Sophos: Mal/EncPk-HP
   •  Panda: Trj/Sinowal.WJB
   •  Eset: Win32/Spy.Zbot.MV
   •  Bitdefender: Backdoor.Bot.96370


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere  Se copiaza in urmatoarea locatie (fisierul are atasate la sfarsit caractere aleatorii si se diferentiaza astfel de original):
   • %SYSDIR%\sdra64.exe



Este creat fisierul:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\user.ds.lll




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://affioro.com/aff22/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%setarile utilizatorului%,%SYSDIR%\sdra64.exe,"



Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Noua valoare:
   • "EnableFirewall"=dword:0x0

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriul fisier


Metoda folosita:
    • Ascuns de Windows API
    • Hook the Import Address Table (IAT)

Se ataseaza la urmatoarele functii API:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le mardi 13 octobre 2009
Description mise à jour par Andrei Ivanes le jeudi 15 octobre 2009

Retour . . . .