VírusTR/Spy.ZBot.9164.1
Data em que surgiu:15/10/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:91.648 Bytes
MD5 checksum:642ff076c8bc5b3be5b9e853337d1820
Versão IVDF:7.01.06.111 - quinta-feira, 15 de outubro de 2009

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  F-Secure: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Mal/Zbot-R
   •  Grisoft: Win32/Cryptor


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\sdra64.exe



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\user.ds
   • %SYSDIR%\user.ds.dll
   • %SYSDIR%\local.ds




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://195.93.208.106/**********/ip1.gif
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
O seguinte:
   • A new settings file for the %endereço de e-mail do
      destinatário%



Corpo:
O corpo do email é o seguinte:

   • Dear user of the %domínio do destinatário% mailing service!
     
     We are informing you that because of the security upgrade of the mailing service your mailbox (%endereço de e-mail do destinatário%) settings were changed. In order to apply the new set of settings click on the following link:
     
     http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********
     
     Best regards, %domínio do destinatário% Technical Support.
     



O email pode ser parecido com o seguinte:


 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– O seu próprio ficheiro


Forma utilizada
    • Esconde-se na API do Windows
    • Bloqueia a Tabela de Importação de Endereços (IAT)

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em quinta-feira, 15 de outubro de 2009
Descrição atualizada por Thomas Wegele em quinta-feira, 15 de outubro de 2009

Voltar . . . .