Ce bot contient des fonctionnalités avancées de vol de données (Formgrabbing) permettant la récupération d'adresses email, de mots de passe, de coordonnées bancaires, etc.
Les informations collectées sont transmises en tout temps à un Server C&C et toutes les 24 heures directement au client via email.
Cette infection dispose de fonctionnalités de rootkit (mode userland - ring3).
Petite spécificité, lors de la génération de l'infection via le centre de commande, il est possible de spécifier l'option "Kill Zeus" ceci permettant la suppression du bot lors de l'infection.
La présence dans le système
L'infection créé le répertoire %systemdrive%\cleansweep.exe et droppe les fichiers cleansweep.exe et config.bin qui correspond respectivement au bot et à son fichier de configuration.
Ces deux fichiers sont partiellement encryptés.
Suivant le Server C&C, le bot peut téléchargé de nouveaux malwares (par exemple le rootkit TDSS).
Scan du dropper (version 1.0.72 du bot)
Plus d'informations :a-squared 4.5.0.50 2010.02.12 Trojan.Win32.Spyeye!IK
AhnLab-V3 5.0.0.2 2010.02.11 Dropper/Malware.70144.K
AntiVir 7.9.1.160 2010.02.11 TR/Pincav.shd
Antiy-AVL 2.0.3.7 2010.02.11 -
Authentium 5.2.0.5 2010.02.12 -
Avast 4.8.1351.0 2010.02.11 Win32:Malware-gen
AVG 9.0.0.730 2010.02.11 SHeur2.CJMO
BitDefender 7.2 2010.02.12 -
CAT-QuickHeal 10.00 2010.02.11 -
ClamAV 0.96.0.0-git 2010.02.12 -
Comodo 3904 2010.02.12 -
DrWeb 5.0.1.12222 2010.02.12 BackDoor.Sweep
eSafe 7.0.17.0 2010.02.11 Win32.Suspect
eTrust-Vet 35.2.7298 2010.02.11 Win32/AdClicker.ALA
F-Prot 4.5.1.85 2010.02.12 -
F-Secure 9.0.15370.0 2010.02.12 Trojan-Spy:W32/Spyeye.B
Fortinet 4.0.14.0 2010.02.12 W32/Agent.SEP!tr
GData 19 2010.02.12 Win32:Malware-gen
Ikarus T3.1.1.80.0 2010.02.12 Trojan.Win32.Spyeye
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.971 2010.02.11 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.02.12 Trojan.Win32.Pincav.shd
McAfee 5889 2010.02.11 Suspect-02!9D2A48BE1A55
McAfee+Artemis 5889 2010.02.11 Suspect-02!9D2A48BE1A55
McAfee-GW-Edition 6.8.5 2010.02.11 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.5406 2010.02.11 Trojan:Win32/Spyeye
NOD32 4859 2010.02.11 a variant of Win32/Spy.SpyEye.B
Norman 6.04.08 2010.02.11 W32/Agent.TFBZ
nProtect 2009.1.8.0 2010.02.11 -
Panda 10.0.2.2 2010.02.11 -
PCTools 7.0.3.5 2010.02.11 Trojan.Spyeye
Prevx 3.0 2010.02.12 Medium Risk Malware
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.12 Mal/Spyeye-A
Sunbelt 3.9.2398.2 2010.02.11 Trojan.Win32.Malware (fs)
Symantec 20091.2.0.41 2010.02.12 Trojan.Spyeye
TheHacker 6.5.1.1.190 2010.02.11 Trojan/Agent.qqs
TrendMicro 9.120.0.1004 2010.02.11 -
VBA32 3.12.12.2 2010.02.11 suspected of Embedded.Trojan.Win32.Pincav.prk
ViRobot 2010.2.11.2182 2010.02.11 Trojan.Win32.Pincav.70144.B
VirusBuster 5.0.21.0 2010.02.11 -
Information additionnelle
File size: 70144 bytes
MD5 : 9d2a48be1a553984a4fda1a88ed4f8ee
SHA1 : b89d6cce43c987577b189a16152727940253e679
SpyEye Bot versus Zeus Bot
SpyEye Bot - Analysis of a new alternative scenario crimeware (PDF)