Revue hebdomadaire BitDefender - Michael Jackson permet à Zbot de se diffuser

Trojan.Spy.ZBot.VG

Le malware se diffuse en s 'envoyant lui-même comme pièce jointe dans du spam.
Cette version de Zbot est une nouvelle version recompilée de Trojan.Spy.ZBot.UI, laquelle injecte du code dans winlogon.exe , lui permettant de créer des fichiers et de se connecter à Internet furtivement. Le malware utilise cette technique pour créer une copie de lui-même dans %windir%\system32\sdra64.exe, et ajoute du contenu à l 'exécutable afin qu 'il ait une taille et une empreinte numérique MD5 différentes, tentant ainsi d'éviter d'être détecté par les antivirus. Il crée également un dossier appelé lowsec (dans le même dossier) dans lequel se trouvent 3 fichiers contenant des données cryptées :  local.ds, user.ds and user.ds.lll
Il enregistre dans local.ds un fichier téléchargé à partir de http://lab[removed].com/lbrc/lbr.bin. Ce fichier contient des informations de configuration telles que : l 'URL permettant de télécharger de nouvelles versions, les URL où récupérer des informations de connexion (principalement des sites de banque en ligne) et l 'endroit où envoyer ces informations.
user.ds est le fichier dans lequel toutes les informations recueillies sont stockées. Ces informations sont ensuite envoyées via Internet au créateur de ce cheval de Troie. Zbot.UI conserve également une sauvegarde de ce fichier dans user.ds.lll
Afin de se lancer à chaque démarrage du système, le cheval de Troie modifie certaines entrées du registre. Il marque également sa présence dans l'ordinateur en créant la ligne d 'identification (mutex) suivante : __SYSTEM__64AD0625__, _AVIRA_2109, _AVIRA_2108, _AVIRA_210999, _H_64AD0625_
Le spam que cette e-menace est chargée de diffuser est lié à la récente vague de spam au sujet de Michael Jackson. Les e-mails ont pour sujet ” Qui a tué Michael Jackson ? ” et le message est le suivant :
 
            Michael Jackson a été tué…
 
            Mais qui a tué Michael Jackson ?
 
            Visitez X-Files pour le découvrir :
 
            http://MJac[removed]ij.com/x-files

Trojan.Skintrim.HTML.A

Il s 'agit du nom générique de plusieurs fichiers HTML que des adwares tels que Adware.Downloader.Navipromo.B ou Adware.LivePlayer.A utilisent pour se télécharger.
Les fichiers contiennent un exécutable déposé dans %windir%\system32 et également détecté comme adware. Le nom de l 'exécutable est spécifié dans le fichier HTML téléchargé et est généré de façon aléatoire.
Pour éviter d 'être détectés, les exécutables s 'exécutent uniquement si certains paramètres sont spécifiés, lesquels sont connus uniquement des téléchargeurs.

Article réalisé gr?ce à l 'aimable contribution de Dana Stanut et Ovidiu Visoiu, spécialistes BitDefender des virus informatiques