Vollständige Virenbeschreibung

Name:	TR/Spy.ZBot.R
Entdeckt am:	26/09/2007
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Nein
IVDF Version:	7.00.00.16 - Mittwoch, 26. September 2007

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Zbot.r
   • F-Secure: Trojan-Spy.Win32.Zbot.r
   • Sophos: Troj/Zbot-A

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
   • %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll

Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://81.95.145.241/**********/ldr.exe
   • http://66.235.175.5/**********/ldr.exe
Diese wird lokal gespeichert unter: %TEMPDIR%\18.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Registry Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • Userinit = %SYSDIR%\userinit.exe,
   Neuer Wert:
   • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Neuer Wert:
   • UID = %Name des Computers%_%Hexadezimale Zahl%

Hintertür Die folgenden Ports werden geöffnet:

– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Einer der folgenden:
   • http://81.95.145.241/**********/cfg.bin
   • http://66.235.175.5/**********/cfg.bin

Den folgenden:
   • http://75.126.64.11/**********/s.php

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• svchost.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 24. Oktober 2007
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 24. Oktober 2007

zurück . . . .