VírusTR/Dldr.Ebill.L
Data em que surgiu:14/01/2009
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:1.007.616 Bytes
MD5 checksum:268feb4d73cf742f85d098e254cd1e0D
Versão IVDF:7.01.01.115 - quarta-feira, 14 de janeiro de 2009

 Vulgarmente Alias:
   •  Mcafee: PWS-Zbot trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.kbi
   •  Sophos: Mal/UnkPack-Fam
   •  Panda: Trj/Sinowal.WJC
   •  Eset: Win32/Spy.Zbot.EF trojan
   •  Bitdefender: Trojan.SPY.Zbot.UV


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros  Copia-se a si próprio para a seguinte localização. São adicionados caracteres aleatórios no final do ficheiro para ser diferente do original.
   • %SYSDIR%\twex.exe



É criado o seguinte ficheiro:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\twain32\local.ds
   • %SYSDIR%\twain32\user.ds
   • %SYSDIR%\twain32\user.ds.lll




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://91.211.65.33/ferrari/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%definições do utilizador %,%SYSDIR%\twex.exe,"



O seguinte valor do registo é alterado:

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valor recente:
   • "EnableFirewall"=dword:0x0

 Tecnologia de Rootkit Oculta o seguinte:
– O seu próprio ficheiro


Forma utilizada
    • Esconde-se na API do Windows
    • Bloqueia a Tabela de Importação de Endereços (IAT)

Bloqueia as seguintes funções API:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 13 de outubro de 2009
Descrição atualizada por Andrei Ivanes em quinta-feira, 15 de outubro de 2009

Voltar . . . .