Nome del virus:TR/Spy.ZBot.9164.1
Scoperto:15/10/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:91.648 Byte
Somma di controllo MD5:642ff076c8bc5b3be5b9e853337d1820
Versione IVDF:7.01.06.111 - giovedì 15 ottobre 2009

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  F-Secure: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Mal/Zbot-R
   •  Grisoft: Win32/Cryptor


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\sdra64.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\user.ds
   • %SYSDIR%\user.ds.dll
   • %SYSDIR%\local.ds




Prova a scaricare un file:

– La posizione è la seguente:
   • http://195.93.208.106/**********/ip1.gif
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


Oggetto:
Il seguente:
   • A new settings file for the %indirizzo email del ricevente%



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • Dear user of the %dominio del destinatario% mailing service!
     
     We are informing you that because of the security upgrade of the mailing service your mailbox (%indirizzo email del ricevente%) settings were changed. In order to apply the new set of settings click on the following link:
     
     http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********
     
     Best regards, %dominio del destinatario% Technical Support.
     



L’email si presenta come di seguito:


 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– Il proprio file


Metodo utilizzato:
    • Nascosto dalle Windows API
    • “Agganciare” la Import Address Table (IAT)

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su giovedì 15 ottobre 2009
Descrizione aggiornata da Thomas Wegele su giovedì 15 ottobre 2009

Indietro . . . .