Zbot/Zeus est une infection vieille de deux ans qui est toujours très active.
Zbot/Zeus possède des fonctionnalités de KeyLogger et scan le disque dur du PC infecté à la recherche d'informations. Il fait partie de la catégorie des stealer.
Le but de ce trojan est de collecter des informations (adresse email, numéro de CB, numéro de téléphone etc.) afin de les revendre.
Page sur le site relative à Zbot/Zeus : http://www.malekal.com/Trojan.Zbot.php
La page inclue une procédure de désinfection pour Zbot/Zeus.
Les méthodes de propagations
Cette famille de malwares utilise plusieurs méthodes d'infections :
- exploits sur des sites WEB avec de nouveaux droppers chaque jour.
- Des campagnes de mails :
- fausses ecard
- fausses mise à jour Microsoft
Exemple d'objet du mail :Western Union! You should receive money! Order NR.4977
Corps du message :Dear customer.
The amount of money transfer: 2925 USD.
Money is available to withdrawl.
You may find the Money Transfer Control Number and receiver's details in document attached to this email.
Western Union.
Customer Service.
Exemple d'objet du mail :DHL service. You should get the parcel! Delivery NR.92858
Corps du message :Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly!
Please note!
The shipping label is attached to this e-mail.
Please print this label to get this package at our post office.
Autres exemples :
new-settings-file-for-the-xxx-xxx-mailbox-has-t21383.html
michael-jackson-zbot-zeus-t19880.html
mail-facebook-account-update-new-login-system-zbot-t21583.html
et bien d'autres campagnes...
myspace-password-reset-confirmation-zbot-t21614.html
ups-invoice-5305325782943-zbot-zeus-t21572.html - eventuellement des cracks ou fichiers sur des sites de téléchargement comme rapidshare etc.
La présence dans le système
L'infection peut générer des erreurs CryptoApi lorsque vous surfez :
infecte-par-des-virus-clef-cryptoapi-t20778.html
exportation-votre-cle-signature-privee-t18675.html#p149650
Zeus/Zbot se charge au démarrage du système en modifiant la valeur Userinit de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Les noms des fichiers créés peuvent être différent selon la variante :
%System%\oembios.exe
%System%\sdra64.exe
%System%\ntos.exe
Le malware utilise des technologies de rootkit pour masquer le processus et le fichier sur le disque (invisible depuis l'explorateur de fichiers).
Le point de chargement lui permet de se charger en mode sans échec, ce qui rend le mode sans échec d'aucun secours.
Le malware télécharge ensuite un fichier de configuration très souvent sous le nom cfg.bin, exemples :
hxxp://woocasino.com/cfg.bin
hxxp://limon4ek.cn/cfg/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
En outre Zbot/Zeus permet le contrôle du PC infecté (notion de PC Zombi), vous trouverez des liens d'informations sur les commandes de contrôle sur cette news : Insight a ZeuS C&C server.
Voici une vidéo de présentation de Zbot/Zeus :
