Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.ZBot.HB
Scoperto:01/09/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:896.000 Byte
Somma di controllo MD5:ca740afab1bc3a6b884d8f40506a7da8
Versione VDF:7.10.04.238
Versione IVDF:7.10.11.68 - mercoledì 1 settembre 2010

 Generale Alias:
   •  Sophos: Mal/Agent-IE
   •  Bitdefender: Trojan.Generic.KD.32217
   •  Panda: Trj/Sinowal.WXO
   •  Eset: Win32/Spy.Zbot.NJ


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Sfrutta la vulnerabilità del software
      •  CVE-2007-1204
      •  MS07-019

 File Si copia alla seguente posizione:
   • %SYSDIR%\sdra64.exe



Vengono creati i seguenti file:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\lowsec\user.ds.lll

 Registro Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



Vengono aggiunte le seguenti chiavi di registro:

– [HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-20]
   • "Migrate"=dword:0x00000002

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%nome del computer%_001DAA3D"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\
   Protected Storage System Provider\S-1-5-20\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,C3,27,A1,10,BF,2D,8B,DE,C7,10,CD,CB,26,6D,90,34,DE,51,DF,FF,11,58,B7,45,10,00,00,00,89,3D,50,AD,A5,CF,68,A8,24,AE,9C,50,4F,CE,FB,3C,14,00,00,00,C6,6E,5C,0C,61,D1,67,62,E7,97,8F,47,ED,6F,87,F9,41,C0,9B,C5

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%nome del computer%_001DBD57"

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{35106240-D2F0-DB35-716E-127EB80A0299}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:47,09,F2,0D

– [HKEY_USERS\.DEFAULT\Software\Microsoft\
   Protected Storage System Provider\S-1-5-18\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,76,A4,13,0B,EE,BB,BA,A6,65,40,F9,82,6F,2F,C6,07,69,20,FD,92,36,33,0A,EA,10,00,00,00,88,F2,ED,F5,9C,51,81,3E,99,80,43,85,7D,A5,4F,7D,14,00,00,00,86,B4,0A,71,D5,43,63,CA,5C,FF,9F,0E,13,1B,E5,E6,EF,AA,5D,4A

– [HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-19]
   • "Migrate"=dword:0x00000002

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:47,09,F2,0D

– [HKEY_USERS\S-1-5-19\Software\Microsoft\
   Protected Storage System Provider\S-1-5-19\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,B5,22,D0,20,24,36,8A,F8,B1,5D,0D,2C,F3,99,98,46,8F,1D,E2,AF,3F,11,DB,D6,10,00,00,00,CD,A2,D0,3B,A8,18,52,9F,86,1D,33,31,B4,4E,20,F1,14,00,00,00,CE,58,EE,A8,EA,9F,7A,D0,0E,29,75,B9,82,16,9B,9B,BF,54,67,5C

– [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-18]
   • "Migrate"=dword:0x00000002

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%nome del computer%_001DB78B"



Vengono cambiate le seguenti chiavi di registro:

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • "Start Page"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • "Start Page"=""

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • winlogon.exe



– Si inserisce come thread remoto in un processo.

    Nome del processo:
   • svchost.exe



– Si inserisce come thread remoto in un processo.

Si inserisce in tutti i processi.


 Varie Accede alle risorse Internet:
   • http://nascetur.com:81/wc/**********


Mutex:
Crea i seguenti Mutex:
   • _AVIRA_2110
   • _AVIRA_2101
   • _AVIRA_2109
   • _AVIRA_2108
   • _AVIRA_21099

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 28 febbraio 2011
Descrizione aggiornata da Petre Galan su lunedì 28 febbraio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.