Nume:TR/Spy.Agent.42496
Descoperit pe data de:04/09/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:42.496 Bytes
Versiune VDF:6.39.01.84
Versiune IVDF:6.39.01.87 - martedì 4 settembre 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Zbot.z
   •  F-Secure: Trojan-PSW.Win32.Zbot.z
   •  Panda: Trj/Wsnpoem.JA


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere
   • Descarca un fisier malware
   • Descarca fisiere malware
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– %SYSDIR%\wsnpoem\audio.dll Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • Used for stolen data storage.

– %SYSDIR%\wsnpoem\video.dll

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • UID = %numele computerului%_%numar hexazecimal%

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer]
   • "{F710FA10-2031-3106-8872-93A2B5C5C620}"=hex:f7,09,f2,0d

 Terminarea proceselor Lista cu procesele oprite:
   • outpost.exe
   • zlclient.exe


 Backdoor Deschide porturile:

– svchost.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,
– svchost.exe port TCP aleator pentru a functiona ca server proxy Socks 5,
– svchost.exe port TCP aleator pentru a oferi functionalitate de backdoor.


Servere contactate:

   • http://**********/.c/o/cfg.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Parole retinute
    • Numele sistemului
    • Utilizatorul curent
    • Adresa IP
    • ID-ul platformei
    • Informatiile colectate, descrise in sectiunea
    • Informatii despre sistemul de operare


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier
    • terminare proces malware
    • Face upload la un fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole stocate, folosite de functia AutoComplete

– Monitorizeaza reteaua folosind un sniffer si cauta urmatorul sir de caractere:
   • CustomerServiceMenuEntryPoint?custAction=75

– O rutina de logare este pornita dupa ce un site este vizitat:
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

– Face captura la:
    • Informatii de logare

 Injectarea codului malware in alte procese     Unul din urmatoarele procese:
   • winlogon.exe
   • svchost.exe


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • __SYSTEM__91C38905__

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriile fisiere
– Propriile chei de registru


Metoda folosita:
    • Hook the Import Address Table (IAT)

Se ataseaza la urmatoarele functii API:
   • NtQueryDirectoryFile
   • GetMessageA
   • GetMessageW
   • PeekMessageW
   • PeekMessageA
   • GetClipboardData

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Ernest Szocs su lunedì 19 novembre 2007
Descrizione aggiornata da Ernest Szocs su lunedì 19 novembre 2007

Indietro . . . .