Name:TR/Zapchas.F
Entdeckt am:17/11/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:912.374 Bytes
MD5 Prüfsumme:d9696ca9402f9303ad63d45bf48dd320
VDF Version:6.32.00.190

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  F-Secure: Backdoor.IRC.Zapchast
   •  Sophos: Troj/Zapchas-CN
   •  Grisoft: IRC/BackDoor.Flood


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien  Es werden folgende Verzeichnisse erstellt:
   • %SYSDIR%\download
   • %SYSDIR%\logs
   • %SYSDIR%\sounds



Es werden folgende Dateien erstellt:

%SYSDIR%\fullname.txt
%SYSDIR%\ident.txt
%SYSDIR%\nicks.txt
%SYSDIR%\popups.txt
%SYSDIR%\svchost.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Parite

%SYSDIR%\script.ini Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: IRC/Zapchast.M

%SYSDIR%\mirc.ini
%SYSDIR%\remote.ini
%SYSDIR%\sup.bat
%SYSDIR%\servers.ini
%SYSDIR%\aliases.ini
%SYSDIR%\control.ini
%SYSDIR%\users.ini
%SYSDIR%\mirc.ico
%SYSDIR%\sup.reg

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "GNP Generic Host Process"="%SYSDIR%\svchost.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\WinRAR SFX]
   • "C%%WINDOWS%system%"="%SYSDIR%\"

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 4. Dezember 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 4. Dezember 2006

zurück . . . .