Execuções do ZeuS e Anexo Malicioso TROJ_UPATRE.SMAI

Faz algumas semanas que os pesquisadores de segurança da Trend Micro receberam um anexo malicioso bastante incomum, que puderam detectar como TROJ_UPATRE.SMAI . Este acessório particular, quando descompactado e executado, exibe a seguinte mensagem de erro:


À primeira vista, isso pode levar os usuários a pensar que não se trata de nada malicioso. No entanto, se olharmos com bastante atenção para o seu código, um ítem se destaca: ele verifica a hora do sistema.



Olhando mais adiante, o que os pesquisadores encontraram foi muito interessante: o valor do mês foi adicionado a um local específico da memória, que por sua vez, contém o endereço de memória e chave de decodificação do código, para que este malware consiga prosseguir com as atividades. No entanto, isto só irá retornar resultados corretos quando for o mês de Janeiro.


As imagens acima mostram a rotina de decodificação deste malware, e os seus possíveis resultados. A cadeia decodificada na Figura 4 está ilegível, uma vez que a hora do sistema da máquina está incorreto. Isso faz com que a mensagem de erro seja exibida. No entanto, na Figura 5, quando o relógio do sistema foi definido para o mês de Janeiro, o endereço correto é recuperado e a execução prossegue como normal, levando a sua carga útil (uma variante ZBOT, detectada como TSPY_ZBOT.ADXK).


Saiba Mais:

[1] Trend Micro - Security Intelligence http://blog.trendmicro.com/trendlabs...t-of-the-year/