Zlob - Best Wishes With A Hidden Message

Aujourd'hui, comme cela était déjà arrivé par le passé, le "Zlob Codec" n'installe pas la fameuse bibliothèque dynamique, SharedTaskScheduler qui habituellement affiche des messages d'alertes et installe les faux logiciels de sécurité (rogue security software) "Virus Trigger" ou "Virus Response Lab 2009".

Sans entrer dans les détails, le "Zlob Codec" est un Trojan-Downloader qui télécharge un fichier sur un serveur distant.
Ce fichier contient en général 4 binaires exécutables qui sont les droppers des divers symptômes Zlob:
  • Messages d'alertes.
  • Raccourcis Internet sur le "Bureau" et dans "Mes Documents".
  • Message d'alertes + téléchargements de Rogue.
  • Zlob.Rooter.

C'est donc le 3ème binaire qui est absent à l'appel. De plus près, on découvre dans les ressources cryptées/packées du fichier "%PROGRAMFILES%\WebMediaViewer\qttaskm.exe" un message caché

Message
For Windows Defender's Team:
I saw your post in the blog (10-Oct-2008) about my previous message.
Just want to say 'Hello' from Russia.
You are really good guys. It was a surprise for me that Microsoft can respond on threats so fast.
I can't sign here now (he-he, sorry), how it was some years ago for more seriously vulnerability for all Windows ;)
Happy New Year, guys, and good luck!
P.S. BTW, we are closing soon. Not because of your work. :-))
So, you will not see some of my great ;) ideas in that family of software.
Try to search in exploits/shellcodes and rootkits.
Also, it is funny (probably for you), but Microsoft offered me a job to help
improve some of Vista's protection. It's not interesting for me, just a life's irony.
Effectivement, quelle ironie !

Dans son message le codeur fait référence à un second message.
Lire le billet du 10-Oct-2008 intitulé "Malware Writer Wants an Eye-to-Eye With Us".

Edit: Merci à Alex (Sunbelt Blog) ainsi qu'à Bharath pour l'article "Hello from Russia, talking through code" et Tareq Saade (Microsoft Malware Protection Center) pour l'article "Zlob: From Russia with Luck?" et ses compliments.

Liens connexes:
Hacker Leaves Message for Microsoft in Trojan Code ( PC World )
Virus writer signs off in cordial Trojan message to MS (The Register, John Leyden)
Malware author greets Microsoft’s Windows Defender team ( ZDNet Zero Day Blog, Dancho Danchev )
Cette entrée a été postée par S!Ri sur Vendredi, 9 janvier 2009 à 16:50. Vous pouvez laisser un commentaire, ou utiliser le trackback Les commentaires seront vérifiés avant publication.

Rétroliens

Rétrolien spécifique pour ce billet

    Pas de rétroliens

Commentaires

Afficher les commentaires en (Vue non groupée | Vue groupée)

    Pas de commentaires


Ajouter un commentaire



Pour éviter le spam par des robits automatisés (spambots), merci d'entrer les caractères que vous voyez dans l'image ci-dessous dans le champ de fomulaire prévu à cet effet. Assurez-vous que votre navigateur gère et accepte les cookies, sinon votre commentaire ne pourra pas être enregistré.
CAPTCHA
 
Les commentaires postés doivent être approuvés avant d'être affichés dans le blog.