Nome del virus:TR/Spy.ZBot.fql.6
Scoperto:27/11/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:908.288 Byte
Somma di controllo MD5:7a2efb63c47daa1b554f04effc6d6bac
Versione IVDF:7.01.00.146 - giovedì 27 novembre 2008

 Generale Alias:
   •  Symantec: Packed.Generic.196
   •  Mcafee: PWS-Zbot.gen.c trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.fql
   •  F-Secure: W32/Trojan3.EP
   •  Panda: Trj/Sinowal.VVF
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zeus.1.Gen


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Scarica un file
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File  Copia se stesso nella seguente posizione. Questo file ha dei byte casuali aggiunti in coda, pertanto può differire dall'originale:
   • %SYSDIR%\twext.exe



Viene creato il seguente file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\twain_32\local.ds
   • %SYSDIR%\twain_32\user.ds




Prova a scaricare un file:

– La posizione è la seguente:
   • http://popokimoki.com/los/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"



Viene cambiata la seguente chiave di registro:

Disattiva il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Nuovo valore:
   • "EnableFirewall"=dword:0x0

 Tecnologia Rootkit Nasconde il seguente:
– Il proprio file


Metodo utilizzato:
    • Nascosto dalle Windows API
    • “Agganciare” la Import Address Table (IAT)

“Aggancia” le seguenti funzioni API:
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> NtCreateThread
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 12 ottobre 2009
Descrizione aggiornata da Andrei Ivanes su mercoledì 14 ottobre 2009

Indietro . . . .