TR / Spy.ZBot.9164.1

Nome del virus: TR/Spy.ZBot.9164.1

Scoperto: 15/10/2009

Tipo: Trojan

In circolazione (ITW): Si

Numero delle infezioni segnalate: Medio-Basso

Potenziale di propagazione: Medio-Basso

Potenziale di danni: Medio-Basso

File statico: Si

Dimensione del file: 91.648 Byte

Somma di controllo MD5: 642ff076c8bc5b3be5b9e853337d1820

Versione IVDF: 7.01.06.111

Generale

Metodo di propagazione:

• Nessuna propria procedura di propagazione

Alias:

• Symantec: Infostealer.Banker.C

• Kaspersky: Trojan-Spy.Win32.Zbot.gen

• F-Secure: Trojan-Spy.Win32.Zbot.gen

• Sophos: Mal/Zbot-R

• Grisoft: Win32/Cryptor

Piattaforme / Sistemi operativi:

• Windows 2000

• Windows XP

• Windows 2003

Effetti secondari:

• Duplica un file

• Modifica del registro

• Sottrae informazioni

File

Si copia alla seguente posizione:

• %SYSDIR%\sdra64.exe

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:

• %SYSDIR%\user.ds

• %SYSDIR%\user.ds.dll

• %SYSDIR%\local.ds

Prova a scaricare un file:

– La posizione è la seguente:

• http://195.93.208.106/**********/ip1.gif

Al momento dell'analisi questo file non era più disponibile.

Registro

Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]

• "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

Email

Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:

Da:

L'indirizzo del mittente è falso.

Oggetto:

Il seguente:

• A new settings file for the %indirizzo email del ricevente%

Corpo dell'email:

Il corpo dell’email è come il seguente:

• Dear user of the %dominio del destinatario% mailing service!

We are informing you that because of the security upgrade of the mailing service your mailbox (%indirizzo email del ricevente%) settings were changed. In order to apply the new set of settings click on the following link:

http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********

Best regards, %dominio del destinatario% Technical Support.

Tecnologia Rootkit

È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.

Nasconde il seguente:

– Il proprio file

Metodo utilizzato:

• Nascosto dalle Windows API

• “Agganciare” la Import Address Table (IAT)

Dettagli del file

Linguaggio di programmazione:

Il malware è stato scritto in MS Visual C++.

Software di compressione:

Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Fonte: Avira