Infos-Malware d'Emsisoft

Nom: Adware.Win32.Zeus

Niveau de risque : High Risk

Description :

Zeus is a bad applications that can steal your important information, like online banking accounts. This is same description from the authors, "Zeus is software to steal personal user data from remote system...". Zeus is the most popular financial malware on the Net today. a-squared Anti-Malware detects this malware as Trojan-Spy.Win32.Zbot. Zeus is also known as Zbot, Kollah, Pakes, PWSZbot, Banker, or Wsnpoem.

Zeus contains the following modules:
- Zeus Web Control Panel (to control the botnet)

- Zeus Builder (to create the bot, and to encrypt the configuration file)

- Zeus BackConnect

Bot is written in C++, and its encrypted. Usually, the bot spreads by email. At the infected machine, he will contact the server to request a configuration file that contains a list of sites that are mostly online banking.

From one of our sample, this malware have such as characteristics:

* The bot file using fake version information.

* When executed, its try to copy itself to the following location, appends a random of data (junk) at the end of the file, and also its hidden from Explorer, because its hook API NtQueryDirectoryFile: %SystemRoot%\System32\sdra64.exe

* The bot may then create some of the following files, and its hidden too:
- %SystemRoot%\System32\lowsec\local.ds

- %SystemRoot%\System32\lowsec\user.ds

- %SystemRoot%\System32\lowsec\user.ds.lll

* It creates one of the following mutexes:
- _AVIRA_2110

- _AVIRA_2101

- _AVIRA_2108

- _AVIRA_2109

- _AVIRA_21099

* Then it enumerates process to checks for the presence of the following programs:
- outpost.exe (Outpost Personal Firewall)

- zlclient.exe (ZoneLabs Firewall)

* Inject its own code to the following process:
- winlogon.exe

- svchost.exe

- explorer.exe

* It also modify the registry entry, so the bot can run automatically.

* Once decrypted, we seen some interesting strings:
Asystem

Asoftware

Awinsta0

ASetErrorMode

A*%u.%u.%u.%u*

Adefault

Agdiplus.dll

Aole32.dll

Agdi32.dll

ADISPLAY

AGdiplusStartup

AGdiplusShutdown

AGdipCreateBitmapFromHBITMAP

AGdipDisposeImage

AGdipGetImageEncodersSize

AGdipGetImageEncoders

AGdipSaveImageToStream

ACreateStreamOnHGlobal

ACreateDCA

ACreateCompatibleDC

AGetDeviceCaps

ACreateCompatibleBitmap

ASelectObject

ABitBlt

ADeleteObject

ADeleteDC

Areboot

Ashutdown

Aresetgrab

Aupcfg

Akbot

Arename_bot

Agetcerts

Agetmff

Adelmff

Asethomepage

Abc_add

Abc_del

Ablock_url

Aunblock_url

Ablock_fake

Aunblock_fake

Akos

Arexeci

Arexec

Alexeci

Alexec

Aapplication/x-www-form-urlencoded

AContent-Type: %s

ZCID: %s

AKeys:

ATYPE

AFEAT

APASV

ASTAT

ALIST

Aanonymous

Ahttps://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

ACustomerServiceMenuEntryPoint?custAction=75

AQ%u: %s

A%u: %s

AAccept-Encoding:

Agetfile

Aaddsf

Adelsf

AGRABBED TAN:

ASKIPPED TAN:

lowsec

user.ds

local.ds

sdra64.exe

SYSTEM

winlogon.exe

svchost.exe

explorer.exe

$UID

_AVIRA_2110

_AVIRA_2101

_AVIRA_2108

_AVIRA_2109

_AVIRA_21099

userinit

software\microsoft\windows nt\currentversion\network

software\microsoft\windows nt\currentversion\winlogon

software\microsoft\windows\currentversion\run

csrss.exe

%s_%08X

%08X%08X%08X%X

ntdll.dll

outpost.exe

zlclient.exe

image/jpeg

screens\%s\%04X_%08X.jpg

drivers\etc\hosts

%08X.uf

*.uf

pass

software\microsoft\windows\currentversion\explorer\comdlg32

filesearch\%06X_%s

certs\%s_%02u_%02u_%04u.pfx

Instructions pour la suppression de Adware Zeus:

Pour supprimer l'infection par ce Malware, téléchargez et installez s'il vous plaît Emsisoft Anti-Malware. Effectuez une analyse complète de tous les lecteurs et placez tous les objets détectés dans la quarantaine.

Plus de détails sur ce danger :

Installation: Installed through EXE

Processus: sdra64.exe

Copies d'écran:

ZeusZeusZeusZeusZeus

Dossiers utilisés :

  • C:\Windows\System32\
  • C:\Windows\System32\lowsec\

Fichiers utilisés :

  • C:\Windows\System32\sdra64.exe
    [505344 Bytes] Executable
  • C:\Windows\System32\lowsec\local.ds
    [0 bytes] DS File
  • C:\Windows\System32\lowsec\user.ds
    [0 bytes] DS File
  • C:\Windows\System32\lowsec\user.ds.lll
    [1088 Bytes] lll File

Des compléments d'information peuvent être trouvés ici :

Rechercher avec Google pour Adware Zeus Rechercher avec Google pour Adware Zeus
Rechercher avec Bing pour Adware Zeus Rechercher avec Bing pour Adware Zeus
Rechercher avec Yahoo pour Adware Zeus Rechercher avec Yahoo pour Adware Zeus

Comment puis-je me protéger contre Adware Zeus?

Important !
Vous avez essentiellement besoin d'un produit antivirus, qui non seulement est capable de supprimer les infections, mais également, de protéger votre ordinateur en permanence des nouveaux dangers. C'est le seul moyen d'empêcher la perte de données et des tracas inutiles et les conséquences de nouvelles installations de votre système d'exploitation.

N'hésitez pas, saisissez votre chance dès aujourd'hui, et achetez le logiciel de protection, Emsisoft Anti-Malware à qui de multiples prix ont été décernés !

Seulement 30€ pour la sécuriter de votre ordinateur.

Acheter Emsisoft Anti-Malware en ligne :

Acheter Emsisoft Anti-Malware maintenant

Faites seulement confiance au meilleur logiciel de protection !

Le meilleur dans les tests !

Emsisoft Anti-Malware est le meilleur des 19 programmes antivirus testés - testé par MRG - Malware Research Group - juin 2009!
Plus d'études indépendantes sur les logiciels anti-malware (anglais)