Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer

[Malekal_morte]

Zbot/Zeus est une infection vieille de plusieurs années qui est toujours très active.
Zbot/Zeus possède des fonctionnalités de KeyLogger et scan le disque dur du PC infecté à la recherche d'informations. Il fait partie de la catégorie des Trojan Stealer et plus particulièrement des Trojan Banker car il vise les comptes bancaires.
Le but de ce trojan est de collecter des informations (adresse email, numéro de CB, numéro de téléphone etc.) afin de les revendre.

Page sur le site relative à Zbot/Zeus : https://www.malekal.com/Trojan.Zbot.php
La page inclue une procédure de désinfection pour Zbot/Zeus.

Le code source de Zbot/Zeus a été publiée en 2011, ce qui a donné une multitude de nouvelle variante : Zbot GameOver, Citadel etc.

Les méthodes de propagations


Cette famille de malwares utilise plusieurs méthodes d'infections :

• exploits sur des sites WEB avec de nouveaux droppers chaque jour. Notamment par des malvertising : Zbot/Dorkbot by malvertising
• Des campagnes de mails :
  • fausses ecard
  • fausses mise à jour Microsoft
    
    Exemple d'objet du mail :

    Western Union! You should receive money! Order NR.4977

    Corps du message :

    Dear customer.
    
    The amount of money transfer: 2925 USD.
    Money is available to withdrawl.
    
    You may find the Money Transfer Control Number and receiver's details in document attached to this email.
    
    Western Union.
    Customer Service.

    
    
    
    Exemple d'objet du mail :

    DHL service. You should get the parcel! Delivery NR.92858

    Corps du message :
    

    Dear customer!
    
    The courier company was not able to deliver your parcel by your address.
    Cause: Error in shipping address.
    
    You may pickup the parcel at our post office personaly!
    
    Please note!
    The shipping label is attached to this e-mail.
    Please print this label to get this package at our post office.

    Autres exemples :
    new-settings-file-for-the-xxx-xxx-mailbox-has-t21383.html
    
    michael-jackson-zbot-zeus-t19880.html
    
    mail-facebook-account-update-new-login-system-zbot-t21583.html
    
    et bien d'autres campagnes...
    myspace-password-reset-confirmation-zbot-t21614.html
    ups-invoice-5305325782943-zbot-zeus-t21572.html
  • eventuellement des cracks ou fichiers sur des sites de téléchargement comme rapidshare etc.

La présence dans le système

L'infection peut générer des erreurs CryptoApi lorsque vous surfez :
infecte-par-des-virus-clef-cryptoapi-t20778.html
exportation-votre-cle-signature-privee-t18675.html#p149650

Zeus/Zbot se charge au démarrage du système en modifiant la valeur Userinit de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Les noms des fichiers créés peuvent être différent selon la variante :

%System%\oembios.exe
%System%\sdra64.exe
%System%\ntos.exe

Le malware utilise des technologies de rootkit pour masquer le processus et le fichier sur le disque (invisible depuis l'explorateur de fichiers).
Le point de chargement lui permet de se charger en mode sans échec, ce qui rend le mode sans échec d'aucun secours.

Le malware télécharge ensuite un fichier de configuration très souvent sous le nom cfg.bin, exemples :
hxxp://woocasino.com/cfg.bin
hxxp://limon4ek.cn/cfg/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin

En outre Zbot/Zeus permet le contrôle du PC infecté (notion de PC Zombi), vous trouverez des liens d'informations sur les commandes de contrôle sur cette news : Insight a ZeuS C&C server.

Voici une vidéo de présentation de Zbot/Zeus :

[Malekal_morte]

Un PDF de Trend Micro sur le fonctionnement du malware Zbot/Zeus et les conséquences, soit environ la perte de plusieurs milliers de dollars : http://us.trendmicro.com/imperia/md/con ... rprise.pdf

[Malekal_morte]

Une page interressante (en anglais sur le fonctionnement du malware) : http://www.secureworks.com/research/thr ... hreat=zeus
et pour mieux comprendre l'impact de ce malware :

The total size of the PHP files for the ZeuS server is 20MB, and the stolen database is 900MB. The database contained login credentials from 1,827 victims located in the US, UK, Canada, Europe, etc. These login credentials were for banking, stock trading, credit union, online payment, insurance, social networking, government, and military accounts. The bank account, credit union, stock trading, and online payment credentials were for many large and medium sized institutions in the US, UK and Canada.

[Malekal_morte]

Un lien interressant sur le malware : http://cert.lexsi.com/weblog/index.php/ ... ce-de-zeus

[Malekal_morte]

Zbot est maintenant un "vrai virus" puisqu'une variante PE infector a vu le jour.
Etude de Trend-Micro sur cette variante : http://us.trendmicro.com/imperia/md/con ... _2010_.pdf

Un cas sur ce forum en désinfection : virus-win32-zbot-vbs-generic-t29212.html

[Malekal_morte]

Exemple d'un framework pour gérer les campagnes de mails de SPAM malicieux Zbot => https://www.malekal.com/2012/09/25/en-if ... -campaign/