sabato 4 settembre 2010

TR / Spy.ZBot.9164.1







Nome del virus: TR/Spy.ZBot.9164.1
Scoperto: 15/10/2009
Tipo: Trojan
In circolazione (ITW): Si
Numero delle infezioni segnalate: Medio-Basso
Potenziale di propagazione: Medio-Basso
Potenziale di danni: Medio-Basso
File statico: Si
Dimensione del file: 91.648 Byte
Somma di controllo MD5: 642ff076c8bc5b3be5b9e853337d1820
Versione IVDF: 7.01.06.111

Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione

Alias:
• Symantec: Infostealer.Banker.C
• Kaspersky: Trojan-Spy.Win32.Zbot.gen
• F-Secure: Trojan-Spy.Win32.Zbot.gen
• Sophos: Mal/Zbot-R
• Grisoft: Win32/Cryptor

Piattaforme / Sistemi operativi:
• Windows 2000
• Windows XP
• Windows 2003

Effetti secondari:
• Duplica un file
• Modifica del registro
• Sottrae informazioni

File
Si copia alla seguente posizione:
• %SYSDIR%\sdra64.exe

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
• %SYSDIR%\user.ds
• %SYSDIR%\user.ds.dll
• %SYSDIR%\local.ds

Prova a scaricare un file:

– La posizione è la seguente:
• http://195.93.208.106/**********/ip1.gif
Al momento dell'analisi questo file non era più disponibile.
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
• "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

Email
Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:

Da:
L'indirizzo del mittente è falso.

Oggetto:
Il seguente:
• A new settings file for the %indirizzo email del ricevente%

Corpo dell'email:
Il corpo dell’email è come il seguente:

• Dear user of the %dominio del destinatario% mailing service!

We are informing you that because of the security upgrade of the mailing service your mailbox (%indirizzo email del ricevente%) settings were changed. In order to apply the new set of settings click on the following link:

http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********

Best regards, %dominio del destinatario% Technical Support.

Tecnologia Rootkit
È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.

Nasconde il seguente:
– Il proprio file

Metodo utilizzato:
• Nascosto dalle Windows API
• “Agganciare” la Import Address Table (IAT)

Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Fonte: Avira

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...