Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer
- Malekal_morte
- Site Admin
- Messages : 89231
- Inscription : 10 sept. 2005 13:57
- Contact :
Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer
Zbot/Zeus est une infection vieille de plusieurs années qui est toujours très active.
Zbot/Zeus possède des fonctionnalités de KeyLogger et scan le disque dur du PC infecté à la recherche d'informations. Il fait partie de la catégorie des Trojan Stealer et plus particulièrement des Trojan Banker car il vise les comptes bancaires.
Le but de ce trojan est de collecter des informations (adresse email, numéro de CB, numéro de téléphone etc.) afin de les revendre.
Page sur le site relative à Zbot/Zeus : https://www.malekal.com/Trojan.Zbot.php
La page inclue une procédure de désinfection pour Zbot/Zeus.
Le code source de Zbot/Zeus a été publiée en 2011, ce qui a donné une multitude de nouvelle variante : Zbot GameOver, Citadel etc.
Les méthodes de propagations
Cette famille de malwares utilise plusieurs méthodes d'infections :
La présence dans le système
L'infection peut générer des erreurs CryptoApi lorsque vous surfez :
infecte-par-des-virus-clef-cryptoapi-t20778.html
exportation-votre-cle-signature-privee-t18675.html#p149650
Zeus/Zbot se charge au démarrage du système en modifiant la valeur Userinit de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Les noms des fichiers créés peuvent être différent selon la variante :
Le point de chargement lui permet de se charger en mode sans échec, ce qui rend le mode sans échec d'aucun secours.
Le malware télécharge ensuite un fichier de configuration très souvent sous le nom cfg.bin, exemples :
hxxp://woocasino.com/cfg.bin
hxxp://limon4ek.cn/cfg/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
En outre Zbot/Zeus permet le contrôle du PC infecté (notion de PC Zombi), vous trouverez des liens d'informations sur les commandes de contrôle sur cette news : Insight a ZeuS C&C server.
Voici une vidéo de présentation de Zbot/Zeus :
Zbot/Zeus possède des fonctionnalités de KeyLogger et scan le disque dur du PC infecté à la recherche d'informations. Il fait partie de la catégorie des Trojan Stealer et plus particulièrement des Trojan Banker car il vise les comptes bancaires.
Le but de ce trojan est de collecter des informations (adresse email, numéro de CB, numéro de téléphone etc.) afin de les revendre.
Page sur le site relative à Zbot/Zeus : https://www.malekal.com/Trojan.Zbot.php
La page inclue une procédure de désinfection pour Zbot/Zeus.
Le code source de Zbot/Zeus a été publiée en 2011, ce qui a donné une multitude de nouvelle variante : Zbot GameOver, Citadel etc.
Les méthodes de propagations
Cette famille de malwares utilise plusieurs méthodes d'infections :
- exploits sur des sites WEB avec de nouveaux droppers chaque jour. Notamment par des malvertising : Zbot/Dorkbot by malvertising
- Des campagnes de mails :
- fausses ecard
- fausses mise à jour Microsoft
Exemple d'objet du mail :
Corps du message :Western Union! You should receive money! Order NR.4977Dear customer.
The amount of money transfer: 2925 USD.
Money is available to withdrawl.
You may find the Money Transfer Control Number and receiver's details in document attached to this email.
Western Union.
Customer Service.
Exemple d'objet du mail :
Corps du message :DHL service. You should get the parcel! Delivery NR.92858
Autres exemples :Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly!
Please note!
The shipping label is attached to this e-mail.
Please print this label to get this package at our post office.
new-settings-file-for-the-xxx-xxx-mailbox-has-t21383.html
michael-jackson-zbot-zeus-t19880.html
mail-facebook-account-update-new-login-system-zbot-t21583.html
et bien d'autres campagnes...
myspace-password-reset-confirmation-zbot-t21614.html
ups-invoice-5305325782943-zbot-zeus-t21572.html - eventuellement des cracks ou fichiers sur des sites de téléchargement comme rapidshare etc.
La présence dans le système
L'infection peut générer des erreurs CryptoApi lorsque vous surfez :
infecte-par-des-virus-clef-cryptoapi-t20778.html
exportation-votre-cle-signature-privee-t18675.html#p149650
Zeus/Zbot se charge au démarrage du système en modifiant la valeur Userinit de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Les noms des fichiers créés peuvent être différent selon la variante :
Le malware utilise des technologies de rootkit pour masquer le processus et le fichier sur le disque (invisible depuis l'explorateur de fichiers).%System%\oembios.exe
%System%\sdra64.exe
%System%\ntos.exe
Le point de chargement lui permet de se charger en mode sans échec, ce qui rend le mode sans échec d'aucun secours.
Le malware télécharge ensuite un fichier de configuration très souvent sous le nom cfg.bin, exemples :
hxxp://woocasino.com/cfg.bin
hxxp://limon4ek.cn/cfg/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
En outre Zbot/Zeus permet le contrôle du PC infecté (notion de PC Zombi), vous trouverez des liens d'informations sur les commandes de contrôle sur cette news : Insight a ZeuS C&C server.
Voici une vidéo de présentation de Zbot/Zeus :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
- Malekal_morte
- Site Admin
- Messages : 89231
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer
Un PDF de Trend Micro sur le fonctionnement du malware Zbot/Zeus et les conséquences, soit environ la perte de plusieurs milliers de dollars : http://us.trendmicro.com/imperia/md/con ... rprise.pdf
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
- Malekal_morte
- Site Admin
- Messages : 89231
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer
Une page interressante (en anglais sur le fonctionnement du malware) : http://www.secureworks.com/research/thr ... hreat=zeus
et pour mieux comprendre l'impact de ce malware :
et pour mieux comprendre l'impact de ce malware :
The total size of the PHP files for the ZeuS server is 20MB, and the stolen database is 900MB. The database contained login credentials from 1,827 victims located in the US, UK, Canada, Europe, etc. These login credentials were for banking, stock trading, credit union, online payment, insurance, social networking, government, and military accounts. The bank account, credit union, stock trading, and online payment credentials were for many large and medium sized institutions in the US, UK and Canada.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
- Malekal_morte
- Site Admin
- Messages : 89231
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer
Un lien interressant sur le malware : http://cert.lexsi.com/weblog/index.php/ ... ce-de-zeus
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
- Malekal_morte
- Site Admin
- Messages : 89231
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer
Zbot est maintenant un "vrai virus" puisqu'une variante PE infector a vu le jour.
Etude de Trend-Micro sur cette variante : http://us.trendmicro.com/imperia/md/con ... _2010_.pdf
Un cas sur ce forum en désinfection : virus-win32-zbot-vbs-generic-t29212.html
Etude de Trend-Micro sur cette variante : http://us.trendmicro.com/imperia/md/con ... _2010_.pdf
Un cas sur ce forum en désinfection : virus-win32-zbot-vbs-generic-t29212.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
- Malekal_morte
- Site Admin
- Messages : 89231
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer
Exemple d'un framework pour gérer les campagnes de mails de SPAM malicieux Zbot => https://www.malekal.com/2012/09/25/en-if ... -campaign/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.