Posted by SentiniX
O trojan LizandraSpamBot é um executavel feito em Visual Basic que cria uma rede zumbi, que recolhe dados de emails e envia a um determinado cracker, possibilitando a disseminação de emails usando as contas de emails do usuario invadido.
Descompilando com o OllyDbg se percebe variáveis com nomes de zombie, login, senha dentre outras, esse executavel foi encontrado no computador de um cliente, após ser relatado o problema de tela azul no windows, analisando o computador percebi a presença desse executavel na pasta WINDOWS, Classificado como SpamBot, junto com ele foram encontrados executaveis como o jushed.exe na pasta Temp e entradas no registro como AntiVirusDisableNotify, FirewallDisableNotify e UpdateDisableNotify, ou seja, ele desabilita Firewall do windows as atualizações automaticas e os anti-virus.
Na analise do SpamBot encontram-se alguns pontos que devemos ressaltar nesse papper, esses pontos são:
Encontra-se uma palavra um pouco estranha, zombie, seguido de GetTypeInfoCoun, pela analise de codigo isso pode ser uma chamada de alguma função dentro do programa para ser dito o tipo de conta que esta logado o usuario no sistema.
Encontranda a seguinte variavel txtPasswd8 mais uma string suspeita pra um arquivo oculto na pasta Windows.
Certamente essas variaveis e chamadas anteriores de formularios são para o envio do Login, Horário e informando ao cracker que foi devidamente instalado o SpamBot no computador da vitima.
tambem o arquivo usado pelo SpamBot chamado COMCTL32.oca, não tive a oportunidade de estudar o mesmo pois não conssegui obter o instalador do SpamBot, mas estou a disposição se alguem quiser enviar uma analise para a XLab que envie para analise.xlab@gmail.com
Relatado tentativas de acessos ao seguintes domínios:
http://multifrotaweb.siteempresarial.com/
Analise VirusTotal:
Antivirus | Version | Last Update | Result |
---|---|---|---|
AhnLab-V3 | 2010.11.15.05 | 2010.11.15 | – |
AntiVir | 7.10.14.5 | 2010.11.15 | HEUR/Malware |
Antiy-AVL | 2.0.3.7 | 2010.11.15 | – |
Authentium | 5.2.0.5 | 2010.11.15 | – |
Avast | 4.8.1351.0 | 2010.11.15 | Win32:Rootkit-gen |
Avast5 | 5.0.594.0 | 2010.11.15 | Win32:Rootkit-gen |
AVG | 9.0.0.851 | 2010.11.15 | Dropper.Generic2.AKTS |
BitDefender | 7.2 | 2010.11.15 | – |
CAT-QuickHeal | 11.00 | 2010.11.09 | – |
ClamAV | 0.96.4.0 | 2010.11.15 | – |
Comodo | 6730 | 2010.11.15 | – |
DrWeb | 5.0.2.03300 | 2010.11.15 | – |
Emsisoft | 5.0.0.50 | 2010.11.15 | Trojan.Win32.VB!IK |
eSafe | 7.0.17.0 | 2010.11.14 | – |
eTrust-Vet | 36.1.7976 | 2010.11.15 | – |
F-Prot | 4.6.2.117 | 2010.11.15 | – |
F-Secure | 9.0.16160.0 | 2010.11.15 | – |
Fortinet | 4.2.249.0 | 2010.11.15 | – |
GData | 21 | 2010.11.15 | Win32:Rootkit-gen |
Ikarus | T3.1.1.90.0 | 2010.11.15 | Trojan.Win32.VB |
Jiangmin | 13.0.900 | 2010.11.15 | – |
K7AntiVirus | 9.67.2973 | 2010.11.12 | – |
Kaspersky | 7.0.0.125 | 2010.11.15 | – |
McAfee | 5.400.0.1158 | 2010.11.15 | – |
McAfee-GW-Edition | 2010.1C | 2010.11.15 | – |
Microsoft | 1.6301 | 2010.11.15 | – |
NOD32 | 5622 | 2010.11.15 | a variant of Win32/Injector.BLK |
Norman | 6.06.10 | 2010.11.15 | – |
nProtect | 2010-11-15.01 | 2010.11.15 | – |
Panda | 10.0.2.7 | 2010.11.15 | Trj/Banker.MBB |
PCTools | 7.0.3.5 | 2010.11.15 | – |
Prevx | 3.0 | 2010.11.15 | – |
Rising | 22.73.06.04 | 2010.11.15 | – |
Sophos | 4.59.0 | 2010.11.15 | – |
Sunbelt | 7319 | 2010.11.15 | – |
SUPERAntiSpyware | 4.40.0.1006 | 2010.11.15 | – |
Symantec | 20101.2.0.161 | 2010.11.15 | – |
TheHacker | 6.7.0.1.083 | 2010.11.15 | – |
TrendMicro | 9.120.0.1004 | 2010.11.15 | – |
TrendMicro-HouseCall | 9.120.0.1004 | 2010.11.15 | – |
VBA32 | 3.12.14.2 | 2010.11.15 | OScope.Trojan.VB.01377 |
ViRobot | 2010.11.15.4148 | 2010.11.15 | – |
VirusBuster | 12.76.1.0 | 2010.11.15 | – |
Link para download:
XLab.Charrua.LizandraSpamBot.Trojan.a
Senha : virus
1 Trackback or Pingback for this entry:
[…] XLab.Charrua.LizandraSpamBot.Trojan.a Comments RSS feed LikeBe the first to like this post. […]