Nume:TR/Spy.ZBot.9164.1
Descoperit pe data de:15/10/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:91.648 Bytes
MD5:642ff076c8bc5b3be5b9e853337d1820
Versiune IVDF:7.01.06.111 - quinta-feira, 15 de outubro de 2009

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  F-Secure: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Mal/Zbot-R
   •  Grisoft: Win32/Cryptor


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\sdra64.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\user.ds
   • %SYSDIR%\user.ds.dll
   • %SYSDIR%\local.ds




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://195.93.208.106/**********/ip1.gif
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • A new settings file for the %adresa destinatarului%



Corpul email-ului:
Corpul email-ului este:

   • Dear user of the %domeniul destinatarului% mailing service!
     
     We are informing you that because of the security upgrade of the mailing service your mailbox (%adresa destinatarului%) settings were changed. In order to apply the new set of settings click on the following link:
     
     http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********
     
     Best regards, %domeniul destinatarului% Technical Support.
     



Email-ul arata astfel:


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul fisier


Metoda folosita:
    • Ascuns de Windows API
    • Hook the Import Address Table (IAT)

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Thomas Wegele em quinta-feira, 15 de outubro de 2009
Descrição atualizada por Thomas Wegele em quinta-feira, 15 de outubro de 2009

Voltar . . . .