Name:TR/Spy.Zbot.FH.2
Entdeckt am:10/08/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Hoch
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:147.456 Bytes
MD5 Prüfsumme:76ff0F6357bf1c0A3c624f58beb3dfaf
IVDF Version:7.10.10.144 - Dienstag, 10. August 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Trojan.Zbot
   •  Kaspersky: Trojan-Spy.Win32.Zbot.ammv
   •  TrendMicro: TROJ_FRAUD.AL
   •  F-Secure: Trojan:W32/Agent.DKGR
   •  Sophos: Troj/Zbot-UC
   •  Bitdefender: Trojan.Downloader.JNJK
   •  Microsoft: PWS:Win32/Zbot
   •  AVG: Agent2.BEFK
   •  Panda: Trj/Sinowal.XEO
   •  PCTools: Trojan.Zbot
   •  VirusBuster: Worm.Agent.YJCM
   •  Eset: Win32/Spy.Zbot.YW
   •  GData: Trojan.Downloader.JNJK
   •  AhnLab: Win-Trojan/Zbot.147456.P
   •  Authentium: W32/Trojan3.BXJ
   •  DrWeb: Trojan.PWS.Panda.387
   •  Ikarus: Trojan-Spy.Win32.Zbot
   •  Norman: W32/FakeAV.VHW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Es werden folgende Dateien erstellt:

– %APPDATA%\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination%.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Zbot.FK.3

– %APPDATA%\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination%.cib Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\%zufällige Buchstabenkombination%]

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • %WINDIR%\explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Donnerstag, 12. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Donnerstag, 12. August 2010

zurück . . . .