Posted by SentiniX
O trojan LizandraSpamBot é um executavel feito em Visual Basic que cria uma rede zumbi, que recolhe dados de emails e envia a um determinado cracker, possibilitando a disseminação de emails usando as contas de emails do usuario invadido.
Descompilando com o OllyDbg se percebe variáveis com nomes de zombie, login, senha dentre outras, esse executavel foi encontrado no computador de um cliente, após ser relatado o problema de tela azul no windows, analisando o computador percebi a presença desse executavel na pasta WINDOWS, Classificado como SpamBot, junto com ele foram encontrados executaveis como o jushed.exe na pasta Temp e entradas no registro como AntiVirusDisableNotify, FirewallDisableNotify e UpdateDisableNotify, ou seja, ele desabilita Firewall do windows as atualizações automaticas e os anti-virus.
Na analise do SpamBot encontram-se alguns pontos que devemos ressaltar nesse papper, esses pontos são:
Encontra-se uma palavra um pouco estranha, zombie, seguido de GetTypeInfoCoun, pela analise de codigo isso pode ser uma chamada de alguma função dentro do programa para ser dito o tipo de conta que esta logado o usuario no sistema.
Encontranda a seguinte variavel txtPasswd8 mais uma string suspeita pra um arquivo oculto na pasta Windows.
Certamente essas variaveis e chamadas anteriores de formularios são para o envio do Login, Horário e informando ao cracker que foi devidamente instalado o SpamBot no computador da vitima.
tambem o arquivo usado pelo SpamBot chamado COMCTL32.oca, não tive a oportunidade de estudar o mesmo pois não conssegui obter o instalador do SpamBot, mas estou a disposição se alguem quiser enviar uma analise para a XLab que envie para analise.xlab@gmail.com
Relatado tentativas de acessos ao seguintes domínios:
http://multifrotaweb.siteempresarial.com/
Analise VirusTotal:
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.11.15.05 | 2010.11.15 | – |
| AntiVir | 7.10.14.5 | 2010.11.15 | HEUR/Malware |
| Antiy-AVL | 2.0.3.7 | 2010.11.15 | – |
| Authentium | 5.2.0.5 | 2010.11.15 | – |
| Avast | 4.8.1351.0 | 2010.11.15 | Win32:Rootkit-gen |
| Avast5 | 5.0.594.0 | 2010.11.15 | Win32:Rootkit-gen |
| AVG | 9.0.0.851 | 2010.11.15 | Dropper.Generic2.AKTS |
| BitDefender | 7.2 | 2010.11.15 | – |
| CAT-QuickHeal | 11.00 | 2010.11.09 | – |
| ClamAV | 0.96.4.0 | 2010.11.15 | – |
| Comodo | 6730 | 2010.11.15 | – |
| DrWeb | 5.0.2.03300 | 2010.11.15 | – |
| Emsisoft | 5.0.0.50 | 2010.11.15 | Trojan.Win32.VB!IK |
| eSafe | 7.0.17.0 | 2010.11.14 | – |
| eTrust-Vet | 36.1.7976 | 2010.11.15 | – |
| F-Prot | 4.6.2.117 | 2010.11.15 | – |
| F-Secure | 9.0.16160.0 | 2010.11.15 | – |
| Fortinet | 4.2.249.0 | 2010.11.15 | – |
| GData | 21 | 2010.11.15 | Win32:Rootkit-gen |
| Ikarus | T3.1.1.90.0 | 2010.11.15 | Trojan.Win32.VB |
| Jiangmin | 13.0.900 | 2010.11.15 | – |
| K7AntiVirus | 9.67.2973 | 2010.11.12 | – |
| Kaspersky | 7.0.0.125 | 2010.11.15 | – |
| McAfee | 5.400.0.1158 | 2010.11.15 | – |
| McAfee-GW-Edition | 2010.1C | 2010.11.15 | – |
| Microsoft | 1.6301 | 2010.11.15 | – |
| NOD32 | 5622 | 2010.11.15 | a variant of Win32/Injector.BLK |
| Norman | 6.06.10 | 2010.11.15 | – |
| nProtect | 2010-11-15.01 | 2010.11.15 | – |
| Panda | 10.0.2.7 | 2010.11.15 | Trj/Banker.MBB |
| PCTools | 7.0.3.5 | 2010.11.15 | – |
| Prevx | 3.0 | 2010.11.15 | – |
| Rising | 22.73.06.04 | 2010.11.15 | – |
| Sophos | 4.59.0 | 2010.11.15 | – |
| Sunbelt | 7319 | 2010.11.15 | – |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.11.15 | – |
| Symantec | 20101.2.0.161 | 2010.11.15 | – |
| TheHacker | 6.7.0.1.083 | 2010.11.15 | – |
| TrendMicro | 9.120.0.1004 | 2010.11.15 | – |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.11.15 | – |
| VBA32 | 3.12.14.2 | 2010.11.15 | OScope.Trojan.VB.01377 |
| ViRobot | 2010.11.15.4148 | 2010.11.15 | – |
| VirusBuster | 12.76.1.0 | 2010.11.15 | – |
Link para download:
XLab.Charrua.LizandraSpamBot.Trojan.a
Senha : virus
Projeto CharruaSecurity 
1 Trackback or Pingback for this entry:
[…] XLab.Charrua.LizandraSpamBot.Trojan.a Comments RSS feed LikeBe the first to like this post. […]