Nume:TR/Dldr.Ebill.L
Descoperit pe data de:14/01/2009
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:1.007.616 Bytes
MD5:268feb4d73cf742f85d098e254cd1e0D
Versiune IVDF:7.01.01.115 - quarta-feira, 14 de janeiro de 2009

 General Alias:
   •  Mcafee: PWS-Zbot trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.kbi
   •  Sophos: Mal/UnkPack-Fam
   •  Panda: Trj/Sinowal.WJC
   •  Eset: Win32/Spy.Zbot.EF trojan
   •  Bitdefender: Trojan.SPY.Zbot.UV


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere  Se copiaza in urmatoarea locatie (fisierul are atasate la sfarsit caractere aleatorii si se diferentiaza astfel de original):
   • %SYSDIR%\twex.exe



Este creat fisierul:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\twain32\local.ds
   • %SYSDIR%\twain32\user.ds
   • %SYSDIR%\twain32\user.ds.lll




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://91.211.65.33/ferrari/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%setarile utilizatorului%,%SYSDIR%\twex.exe,"



Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Noua valoare:
   • "EnableFirewall"=dword:0x0

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriul fisier


Metoda folosita:
    • Ascuns de Windows API
    • Hook the Import Address Table (IAT)

Se ataseaza la urmatoarele functii API:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Petre Galan em terça-feira, 13 de outubro de 2009
Descrição atualizada por Andrei Ivanes em quinta-feira, 15 de outubro de 2009

Voltar . . . .