Nome del virus:TR/Spy.ZBot.qca
Scoperto:23/03/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:621.056 Byte
Somma di controllo MD5:439e41027e08b550311bc6b3cf9f802c
Versione IVDF:7.01.02.201 - lunedì 23 marzo 2009

 Generale Alias:
   •  Symantec: Infostealer.Banker.C
   •  Mcafee: PWS-Zbot trojan !!!
   •  Sophos: Mal/EncPk-HP
   •  Panda: Trj/Sinowal.WJB
   •  Eset: Win32/Spy.Zbot.MV
   •  Bitdefender: Backdoor.Bot.96370


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File  Copia se stesso nella seguente posizione. Questo file ha dei byte casuali aggiunti in coda, pertanto può differire dall'originale:
   • %SYSDIR%\sdra64.exe



Viene creato il seguente file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\user.ds.lll




Prova a scaricare un file:

– La posizione è la seguente:
   • http://affioro.com/aff22/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%impostazioni definite dell'utente%,%SYSDIR%\sdra64.exe,"



Viene cambiata la seguente chiave di registro:

Disattiva il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Nuovo valore:
   • "EnableFirewall"=dword:0x0

 Tecnologia Rootkit Nasconde il seguente:
– Il proprio file


Metodo utilizzato:
    • Nascosto dalle Windows API
    • “Agganciare” la Import Address Table (IAT)

“Aggancia” le seguenti funzioni API:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su martedì 13 ottobre 2009
Descrizione aggiornata da Andrei Ivanes su giovedì 15 ottobre 2009

Indietro . . . .