Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86592
Inscription : 10 sept. 2005 13:57
Contact :

Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer

Message par Malekal_morte » 15 oct. 2009 12:13

Zbot/Zeus est une infection vieille de plusieurs années qui est toujours très active.
Zbot/Zeus possède des fonctionnalités de KeyLogger et scan le disque dur du PC infecté à la recherche d'informations. Il fait partie de la catégorie des Trojan Stealer et plus particulièrement des Trojan Banker car il vise les comptes bancaires.
Le but de ce trojan est de collecter des informations (adresse email, numéro de CB, numéro de téléphone etc.) afin de les revendre.

Page sur le site relative à Zbot/Zeus : https://www.malekal.com/Trojan.Zbot.php
La page inclue une procédure de désinfection pour Zbot/Zeus.

Le code source de Zbot/Zeus a été publiée en 2011, ce qui a donné une multitude de nouvelle variante : Zbot GameOver, Citadel etc.

Les méthodes de propagations


Cette famille de malwares utilise plusieurs méthodes d'infections :
  • exploits sur des sites WEB avec de nouveaux droppers chaque jour. Notamment par des malvertising : Zbot/Dorkbot by malvertising
  • Des campagnes de mails :
    • fausses ecard
    • fausses mise à jour Microsoft
      Image
      Exemple d'objet du mail :
      Western Union! You should receive money! Order NR.4977
      Corps du message :
      Dear customer.

      The amount of money transfer: 2925 USD.
      Money is available to withdrawl.

      You may find the Money Transfer Control Number and receiver's details in document attached to this email.

      Western Union.
      Customer Service.

      Image

      Exemple d'objet du mail :
      DHL service. You should get the parcel! Delivery NR.92858
      Corps du message :
      Dear customer!

      The courier company was not able to deliver your parcel by your address.
      Cause: Error in shipping address.

      You may pickup the parcel at our post office personaly!

      Please note!
      The shipping label is attached to this e-mail.
      Please print this label to get this package at our post office.
      Autres exemples :
      new-settings-file-for-the-xxx-xxx-mailbox-has-t21383.html
      Image
      michael-jackson-zbot-zeus-t19880.html
      Image
      mail-facebook-account-update-new-login-system-zbot-t21583.html
      Image
      et bien d'autres campagnes...
      myspace-password-reset-confirmation-zbot-t21614.html
      ups-invoice-5305325782943-zbot-zeus-t21572.html
    • eventuellement des cracks ou fichiers sur des sites de téléchargement comme rapidshare etc.

La présence dans le système

L'infection peut générer des erreurs CryptoApi lorsque vous surfez :
infecte-par-des-virus-clef-cryptoapi-t20778.html
exportation-votre-cle-signature-privee-t18675.html#p149650

Zeus/Zbot se charge au démarrage du système en modifiant la valeur Userinit de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Les noms des fichiers créés peuvent être différent selon la variante :
%System%\oembios.exe
%System%\sdra64.exe
%System%\ntos.exe
Le malware utilise des technologies de rootkit pour masquer le processus et le fichier sur le disque (invisible depuis l'explorateur de fichiers).
Le point de chargement lui permet de se charger en mode sans échec, ce qui rend le mode sans échec d'aucun secours.

Le malware télécharge ensuite un fichier de configuration très souvent sous le nom cfg.bin, exemples :
hxxp://woocasino.com/cfg.bin
hxxp://limon4ek.cn/cfg/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin

En outre Zbot/Zeus permet le contrôle du PC infecté (notion de PC Zombi), vous trouverez des liens d'informations sur les commandes de contrôle sur cette news : Insight a ZeuS C&C server.

Voici une vidéo de présentation de Zbot/Zeus :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86592
Inscription : 10 sept. 2005 13:57
Contact :

Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer

Message par Malekal_morte » 05 mars 2010 12:22

Un PDF de Trend Micro sur le fonctionnement du malware Zbot/Zeus et les conséquences, soit environ la perte de plusieurs milliers de dollars : http://us.trendmicro.com/imperia/md/con ... rprise.pdf
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86592
Inscription : 10 sept. 2005 13:57
Contact :

Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer

Message par Malekal_morte » 15 mars 2010 20:16

Une page interressante (en anglais sur le fonctionnement du malware) : http://www.secureworks.com/research/thr ... hreat=zeus
et pour mieux comprendre l'impact de ce malware :
The total size of the PHP files for the ZeuS server is 20MB, and the stolen database is 900MB. The database contained login credentials from 1,827 victims located in the US, UK, Canada, Europe, etc. These login credentials were for banking, stock trading, credit union, online payment, insurance, social networking, government, and military accounts. The bank account, credit union, stock trading, and online payment credentials were for many large and medium sized institutions in the US, UK and Canada.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86592
Inscription : 10 sept. 2005 13:57
Contact :

Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer

Message par Malekal_morte » 13 avr. 2010 22:19

Un lien interressant sur le malware : http://cert.lexsi.com/weblog/index.php/ ... ce-de-zeus
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86592
Inscription : 10 sept. 2005 13:57
Contact :

Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer

Message par Malekal_morte » 29 oct. 2010 09:31

Zbot est maintenant un "vrai virus" puisqu'une variante PE infector a vu le jour.
Etude de Trend-Micro sur cette variante : http://us.trendmicro.com/imperia/md/con ... _2010_.pdf

Un cas sur ce forum en désinfection : virus-win32-zbot-vbs-generic-t29212.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86592
Inscription : 10 sept. 2005 13:57
Contact :

Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer

Message par Malekal_morte » 24 oct. 2012 23:09

Exemple d'un framework pour gérer les campagnes de mails de SPAM malicieux Zbot => https://www.malekal.com/2012/09/25/en-if ... -campaign/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité