Name:TR/Zlob.JW
Entdeckt am:12/02/2007
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Nein
Dateigröße:~ 19.000 Bytes
IVDF Version:6.37.01.73 - Montag, 12. Februar 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Puper trojan
   •  Kaspersky: Trojan-Downloader.Win32.Zlob.kof
   •  F-Secure: Trojan-Downloader:W32/Zlob.HPU
   •  Grisoft: Pakes.Q
   •  Eset: Win32/TrojanDownloader.Zlob.BSX trojan
   •  Bitdefender: Trojan.Downloader.Zlob.ABRJ


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

– c:\sbmdl.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Zlob.JW

– c:\sbsm.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Zlob.kog

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\
   run]
   • "start"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"



Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}]
   • "(Default)"=""



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
   {9034A523-D068-4BE8-A284-9DF278BE776E}]
   • "MenuText"="IE Anti-Spyware"
   • "Exec"="http://www.ieservicegate.com/redirect.php"
   • "CLSID"="{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"

– [HKCU\Software\Microsoft\Internet Explorer\SearchScopes]
   • "DefaultScope"="{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Thomas Wegele am Donnerstag, 17. April 2008
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 17. April 2008

zurück . . . .