среда, 14 января 2009 г.

Trojan-Spy.Win32.Zbot

Имя файла: ntos.exe
Размер: 217 Кб
http://www.virustotal.com/ru/analisis/f1623f018c7827fe11eca39e0477275a
Размер файла искусственно увеличен ненужным мусором, истинный размер 41 Кб.
С начала расшифровывается (xor 52h) небольшой кусочек кода, далее еще один (xor 7Ah), затем еще один цикл расшифровки. Далее три зашифрованные секции поочередно расшифровывается с копированием содержимого в другие секции. После вот таких “хитроумных” манипуляций мы попадаем на OEP. Как и утверждают, большинство AV программа оказалась трояном Zeus, функции которой давно описаны, а билдер и админка легко доступны в сети. Ключевые действия это инжект в winlogon.exe, перехват трафика, подмена выбранных сайтов, кража паролей, умеет делать скриншоты, крадет сертификаты и еще кое-что по мелочи. Данный билд был настроен на адрес: http://hopana.info/web/cfg.binИнтересно, что билдер (Control Panel) производит не совсем стандартные действия: поиск бота в системе, предоставляет информацию о версии трояна и самое интересно производит деинсталляцию.2009, GMax
e_gmax@mail.ru

Комментариев нет: