quinta-feira, 12 de julho de 2012

Análise Trojan - W32.Zbot (Drive-by download) Parte I


Zbot é uma detecção genérica para diversas famílias de trojans, tem como finalidade o roubo de dados e informações do usuário de um sistema infectado, se prolifera por e-mail (em anexos maliciosos), ou se instala através de algum site infectado da web (Drive-by_download), neste caso o trojan foi encontrado dentro de um site registrado no Brasil.




Após efetuar o download do artefato, iniciei a execução do mesmo no sistema, foram observadas diversas alterações no registro do sistema operacional:

  • Criação e execução de processos

  • Abertura de um backdoor no sistema (modificando as configurações de exceção do firewall do windows)
 


Trafégo WEB

Analisando o trafégo gerado na rede pelo trojan, foi possível verificar que as requisições efetuadas apresentam as características de uma rede P2P, diversos malwares utilizam este tipo de rede para se proliferar. Neste tipo de rede cada sistema infectado é capaz de se comunicar com outros sistemas, receber e enviar comandos.

Servidor de comando e controle P2P (P2P Command Server).

O trojan executa diversas conexões UDP em portas altas aleatórias, as requisições tem diversos endereços de destino da web, estes pacotes criptografados tem a função de verificar novas infecções na rede e possívelmente o envio de informações do sistema do host infectado:


Logo após, o trojan executa requisições para sites legítimos, no caso, podemos ver na imagem abaixo, as solicitações direcionadas aos IP 74.125.234.80 e 74.125.234.87, ambos pertencentes ao google:



Estas requisições tem a finalidade de testar a conectividade da rede (acesso web), em seguida o bot se comunica com outros hosts infectados na rede P2P, enviando e recebendo informações:


Coloquei o arquivo para análise do site especializado Virustotal, o mesmo reportou que até o momento, a sua base de dados não continha registro de análise para o referido arquivo, na primeira análise o trojan teve um nível de detecção razoável (12/42), pelas ferramentas de antivírus, sendo reportado como Trojan W32.Zbot:




Obs: Na próxima parte da análise deste trojan, tentarei reproduzir o fluxo completo de comunicação da rede P2P deste Bot, não foi possível chegar a este ponto, pois o trojan possui alguma proteção ao ser executado em ambiente virtual, gerando um erro ao iniciar este processo, até breve!.



Nenhum comentário:

Postar um comentário