日曜日, 6月 20, 2010

「Zbot.akoc/Zbot-RD」Zeus新規トロイ木馬が発見されました

昨日の夜から新しいZeus/Zbotのトロイシリーズがメールトラフィックで沢山発見されました。
サンプルは下記の情報となります↓
ファイル名前「jso.exe」と「js.exe」
サイズ情報↓
File size: 130649 bytes
MD5...: fe884ef028f05c3210160a5834e86f42
PEInfo: PE Structure information
オリジン↓
hxxp://alsons.ru/pizda/ (ロシア)
(トロイセットはjso.exe, js.exe, config.bin, suki.php)

スキャンしたら結果は下記のウイルス名となります↓
BitDefender 7.2 2010.06.20 「Backdoor.Bot.123498」
Sophos 4.54.0 2010.06.20 「Troj/Zbot-RD」
Kaspersky 7.0.0.125 2010.06.20 「Trojan-Spy.Win32.Zbot.akoc」
TrendMicro 9.120.0.1004 2010.06.20 「TSPY_QAKBOT.SMG」
※現時点ではMcAffee、Symantec、ClamAVのパターンDBには未だ対応されてません。詳しくは

下記のウイルストータル情報↓
http://www.virustotal.com/analisis/f9764556e782fcaa4c48a4d7c986c157d97223f97afa7c3e41382b2ac5c1fe32-1277020639

こちらはVIRSCAN.ORGのスキャン情報です↓
http://virscan.org/report/28978ad08e865152b6860e4e233564fe.html

マルウェア仕組みは未だ途中結果ですが、下記となります↓
このトロイをインストールされたら%System%\jso.exeのプロセスが立ち上がってます。
Registryには下記のレコードを追加されて↓
# HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
* {5388BF2A-F66F-7E95-DE9B-DD584B5968BE} = ""%AppData%\Xeqiy\jso.exe""
↑パソコンのシステムを起動したら、このトロイを実行されてしまいます。
ネットワーク情報ですが、下記のIPとポート番号に繋ぐ動きを確認が出来ました↓
195.206.246.203 80
---
ZeroDay.jp
http://0day.jp
マルウェアリサーチチーム

0 件のコメント:

コメントを投稿