VírusTR/Spy.ZBot.qca
Data em que surgiu:23/03/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:621.056 Bytes
MD5 checksum:439e41027e08b550311bc6b3cf9f802c
Versão IVDF:7.01.02.201 - segunda-feira, 23 de março de 2009

 Vulgarmente Alias:
   •  Symantec: Infostealer.Banker.C
   •  Mcafee: PWS-Zbot trojan !!!
   •  Sophos: Mal/EncPk-HP
   •  Panda: Trj/Sinowal.WJB
   •  Eset: Win32/Spy.Zbot.MV
   •  Bitdefender: Backdoor.Bot.96370


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros  Copia-se a si próprio para a seguinte localização. São adicionados caracteres aleatórios no final do ficheiro para ser diferente do original.
   • %SYSDIR%\sdra64.exe



É criado o seguinte ficheiro:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\user.ds.lll




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://affioro.com/aff22/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%definições do utilizador %,%SYSDIR%\sdra64.exe,"



O seguinte valor do registo é alterado:

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valor recente:
   • "EnableFirewall"=dword:0x0

 Tecnologia de Rootkit Oculta o seguinte:
– O seu próprio ficheiro


Forma utilizada
    • Esconde-se na API do Windows
    • Bloqueia a Tabela de Importação de Endereços (IAT)

Bloqueia as seguintes funções API:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 13 de outubro de 2009
Descrição atualizada por Andrei Ivanes em quinta-feira, 15 de outubro de 2009

Voltar . . . .