Nome del virus:TR/Spy.Agent.42496
Scoperto:04/09/2007
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:42.496 Byte
Versione VDF:6.39.01.84
Versione IVDF:6.39.01.87 - martedì 4 settembre 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Zbot.z
   •  F-Secure: Trojan-PSW.Win32.Zbot.z
   •  Panda: Trj/Wsnpoem.JA


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica file
   • Scarica un file “maligno”
   • Scarica file “maligni”
   • Duplica file
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ntos.exe



Vengono creati i seguenti file:

%SYSDIR%\wsnpoem\audio.dll Questo è un file di testo “non maligno” con il seguente contenuto:
   • Used for stolen data storage.

%SYSDIR%\wsnpoem\video.dll

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • UID = %nome del computer%_%numero esadecimale%

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer]
   • "{F710FA10-2031-3106-8872-93A2B5C5C620}"=hex:f7,09,f2,0d

 Processi terminati Lista dei processi che vengono terminati:
   • outpost.exe
   • zlclient.exe


 Backdoor Le seguenti porte sono aperte:

– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.
– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 5.
– svchost.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Il seguente:
   • http://**********/.c/o/cfg.bin

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Nome del computer
    • Utente corrente
    • Indirizzo IP
    • ID della piattaforma
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
    • Informazioni sul sistema operativo Windows


Capacità di controllo remoto:
    • Download di file
    • Eseguire file
    • Terminare il malware
    • Carica un file

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico

– Utilizza uno sniffer di rete che verifica la presenza della seguente stringa:
   • CustomerServiceMenuEntryPoint?custAction=75

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

– Cattura:
    • Informazioni di login

 Come il virus si inserisce nei processi     Uno dei seguenti processi:
   • winlogon.exe
   • svchost.exe


 Varie Mutex:
Crea il seguente Mutex:
   • __SYSTEM__91C38905__

 Tecnologia Rootkit Nasconde il seguente:
– I propri file
– Le proprie chiavi di registro


Metodo utilizzato:
    • “Agganciare” la Import Address Table (IAT)

“Aggancia” le seguenti funzioni API:
   • NtQueryDirectoryFile
   • GetMessageA
   • GetMessageW
   • PeekMessageW
   • PeekMessageA
   • GetClipboardData

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ernest Szocs su lunedì 19 novembre 2007
Descrizione aggiornata da Ernest Szocs su lunedì 19 novembre 2007

Indietro . . . .