VírusTR/Spy.ZBot.fql.6
Data em que surgiu:27/11/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:908.288 Bytes
MD5 checksum:7a2efb63c47daa1b554f04effc6d6bac
Versão IVDF:7.01.00.146 - quinta-feira, 27 de novembro de 2008

 Vulgarmente Alias:
   •  Symantec: Packed.Generic.196
   •  Mcafee: PWS-Zbot.gen.c trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.fql
   •  F-Secure: W32/Trojan3.EP
   •  Panda: Trj/Sinowal.VVF
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zeus.1.Gen


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros  Copia-se a si próprio para a seguinte localização. São adicionados caracteres aleatórios no final do ficheiro para ser diferente do original.
   • %SYSDIR%\twext.exe



É criado o seguinte ficheiro:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\twain_32\local.ds
   • %SYSDIR%\twain_32\user.ds




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://popokimoki.com/los/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"



O seguinte valor do registo é alterado:

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valor recente:
   • "EnableFirewall"=dword:0x0

 Tecnologia de Rootkit Oculta o seguinte:
– O seu próprio ficheiro


Forma utilizada
    • Esconde-se na API do Windows
    • Bloqueia a Tabela de Importação de Endereços (IAT)

Bloqueia as seguintes funções API:
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> NtCreateThread
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 12 de outubro de 2009
Descrição atualizada por Andrei Ivanes em quarta-feira, 14 de outubro de 2009

Voltar . . . .