Zbot/Zeus possède des fonctionnalités de KeyLogger et scan le disque dur du PC infecté à la recherche d'informations. Il fait partie de la catégorie des Trojan Stealer et plus particulièrement des Trojan Banker car il vise les comptes bancaires.
Le but de ce trojan est de collecter des informations (adresse email, numéro de CB, numéro de téléphone etc.) afin de les revendre.
Page sur le site relative à Zbot/Zeus : https://www.malekal.com/Trojan.Zbot.php
La page inclue une procédure de désinfection pour Zbot/Zeus.
Le code source de Zbot/Zeus a été publiée en 2011, ce qui a donné une multitude de nouvelle variante : Zbot GameOver, Citadel etc.
Les méthodes de propagations
Cette famille de malwares utilise plusieurs méthodes d'infections :
- exploits sur des sites WEB avec de nouveaux droppers chaque jour. Notamment par des malvertising : Zbot/Dorkbot by malvertising
- Des campagnes de mails :
- fausses ecard
- fausses mise à jour Microsoft
Exemple d'objet du mail :
Corps du message :Western Union! You should receive money! Order NR.4977Dear customer.
The amount of money transfer: 2925 USD.
Money is available to withdrawl.
You may find the Money Transfer Control Number and receiver's details in document attached to this email.
Western Union.
Customer Service.
Exemple d'objet du mail :
Corps du message :DHL service. You should get the parcel! Delivery NR.92858
Autres exemples :Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly!
Please note!
The shipping label is attached to this e-mail.
Please print this label to get this package at our post office.
new-settings-file-for-the-xxx-xxx-mailbox-has-t21383.html
michael-jackson-zbot-zeus-t19880.html
mail-facebook-account-update-new-login-system-zbot-t21583.html
et bien d'autres campagnes...
myspace-password-reset-confirmation-zbot-t21614.html
ups-invoice-5305325782943-zbot-zeus-t21572.html - eventuellement des cracks ou fichiers sur des sites de téléchargement comme rapidshare etc.
La présence dans le système
L'infection peut générer des erreurs CryptoApi lorsque vous surfez :
infecte-par-des-virus-clef-cryptoapi-t20778.html
exportation-votre-cle-signature-privee-t18675.html#p149650
Zeus/Zbot se charge au démarrage du système en modifiant la valeur Userinit de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Les noms des fichiers créés peuvent être différent selon la variante :
Le malware utilise des technologies de rootkit pour masquer le processus et le fichier sur le disque (invisible depuis l'explorateur de fichiers).%System%\oembios.exe
%System%\sdra64.exe
%System%\ntos.exe
Le point de chargement lui permet de se charger en mode sans échec, ce qui rend le mode sans échec d'aucun secours.
Le malware télécharge ensuite un fichier de configuration très souvent sous le nom cfg.bin, exemples :
hxxp://woocasino.com/cfg.bin
hxxp://limon4ek.cn/cfg/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
hxxp://91.203.92.135/alligator/cfg.bin
En outre Zbot/Zeus permet le contrôle du PC infecté (notion de PC Zombi), vous trouverez des liens d'informations sur les commandes de contrôle sur cette news : Insight a ZeuS C&C server.
Voici une vidéo de présentation de Zbot/Zeus :