www.MegaLab.it

[aferrotti]

Ciao a tutti, ho letto un articolo su http://www.hispasec.com che martedi scorso e stata aggiunta da Microsoft la firma Zbot a MSRT (Malicious Software Removal Tool),mi sembra interessante che se ne parli perche forse qualcuno di noi potrebbe essere uno zombi come dice wikipedia.
Per quanto ne ho capito zbot si dedica in particolare alle pagine bancarie, quindi un pc infetto da zbot entrerebbe nella rete botnet ZeuS....spulciando su internet per identificare se si e infetti secondo Nod32 ecco qua:

Zbot è un cavallo di Troia che tenta di sottrarre informazioni riservate dal computer infettato. Il malware è anche in grado di scaricare dei file di configurazione e degli aggiornamenti da Internet.

Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003 e Windows 7.

Quando si esegue, il Trojan può creare una delle seguenti copie di se stesso
%Sysdir%\sdra64.exe
%Sysdir%\oembios.exe
%Sysdir%\ntos.exe

Il malware crea anche i seguenti file
%Sysdir%\wsnpoem\audio.dll
%Sysdir%\wsnpoem\video.dll
%Sysdir%\sysproc64\sysproc86.sys
%Sysdir%\sysproc64\sysproc32.sys

Il Trojan rilascia il seguente file di configurazione codificato
%Sysdir%\lowsec\local.ds

Questo file di configurazione istruisce il Trojan su come poter scaricare ulteriori aggiornamenti e istruzioni.

Allo scopo di essere eseguito a ogni avvio di Windows, il cavallo di Troia crea una delle seguenti chiavi di Registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"userinit" = "%Sysdir%\sdra64.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"userinit" = "%Sysdir%\oembios.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"userinit" = "%Sysdir%\ntos.exe"

Il Trojan può anche apportare delle modifiche alle seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%Sysdir%\userinit.exe, %Sysdir%\sdra64.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%Sysdir%\userinit.exe, %Sysdir%\oembios.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%Sysdir%\userinit.exe, %Sysdir%\ntos.exe"

Il malware tenta di raccoglie le seguenti informazioni dal computer infettato
Versione del sistema Operativo
Presenza di Windows XP Service Pack 2
Lingua del sistema Operativo
Le password salvate in PStore

Il Trojan tenta di creare delle operazioni pericolose in tutti i processi in esecuzione escluso il CSRSS.EXE. Per far ciò, il malware si aggancia alle seguenti funzioni di sistema del NTDLL.DLL
NtCreateThread
LdrLoadDll
LdrGetProcedureAddress

Il cavallo di Troia elimina i cookie presenti nella cache degli indirizzi URL di Internet Explorer in modo che l’utente debba reinserire le password quando accede ai siti Web delle banche.

Il trojan tenta di agganciare le funzioni di varie DLL per ottenere il controllo delle funzionalità di rete e per poter sottrarre informazioni riservate

dal WININET.DLL
HttpSendRequestW
HttpSendRequestA
HttpSendRequestExW
HttpSendRequestExA
InternetReadFile
InternetReadFileExW
InternetReadFileExA
InternetQueryDataAvailable
InternetCloseHandle

dal WS2_32.DLL and WSOCK32.DLL
send
sendto
closesocket
WSASend
WSASendTo

dal USER32.DLL
GetMessageW
GetMessageA
PeekMessageW
PeekMessageA
GetClipboardData

Dopo aver agganciato le DLL, il malware filtra il traffico di rete secondo le parole chiave relative alle banche, ai siti di social network e a quelli di email Web. Le parole chiave sono specificate nel file di configurazione codificato.

Le informazioni sottratte vengono registrate nel seguente file
%Sysdir%\lowsec\user.ds.

Infine, il cavallo di Troia trasmette i dati sottratti a degli indirizzi URL specificati nel file di configurazione.

Oppure con Trend Micro si puo scaricare da qua questa aplicazione http://free.antivirus.com/rubotted/ in pratica ti dire se fai gia parte della rete botnet.
Io credo che un po di attenzione gli va data!!!ciao a tutti