Nume:TR/Spy.ZBot.9164.1
Descoperit pe data de:15/10/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:91.648 Bytes
MD5:642ff076c8bc5b3be5b9e853337d1820
Versiune IVDF:7.01.06.111 - giovedì 15 ottobre 2009

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  F-Secure: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Mal/Zbot-R
   •  Grisoft: Win32/Cryptor


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\sdra64.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\user.ds
   • %SYSDIR%\user.ds.dll
   • %SYSDIR%\local.ds




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://195.93.208.106/**********/ip1.gif
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • A new settings file for the %adresa destinatarului%



Corpul email-ului:
Corpul email-ului este:

   • Dear user of the %domeniul destinatarului% mailing service!
     
     We are informing you that because of the security upgrade of the mailing service your mailbox (%adresa destinatarului%) settings were changed. In order to apply the new set of settings click on the following link:
     
     http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********
     
     Best regards, %domeniul destinatarului% Technical Support.
     



Email-ul arata astfel:


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul fisier


Metoda folosita:
    • Ascuns de Windows API
    • Hook the Import Address Table (IAT)

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Thomas Wegele su giovedì 15 ottobre 2009
Descrizione aggiornata da Thomas Wegele su giovedì 15 ottobre 2009

Indietro . . . .