Name:TR/Spy.Zbot.gay
Entdeckt am:18/08/2010
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:126.528 Bytes
MD5 Prüfsumme:a1d17eddc4e8ca9d1cd2bc12ad3cb942
IVDF Version:7.10.11.01 - Montag, 23. August 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Bredolab.hdt
   •  F-Secure: Trojan:W32/Agent.DKKG
   •  Sophos: Troj/MDrop-CVA
   •  Panda: Trj/CI.A
   •  Eset: Win32/Spy.Zbot.YW
   •  AhnLab: Win-Trojan/Agent.126528.C
   •  DrWeb: Trojan.PWS.Panda.428
   •  Ikarus: Trojan.Injector
   •  Norman: W32/Smalltroj.ZJAJ

Wurde zuvor wie folgt erkannt:
   •  TR/Injector.AL


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– %APPDATA%\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination%.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %APPDATA%\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination% Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.
%TEMPDIR%\\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination%.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\%zufällige Buchstabenkombination%]

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Montag, 23. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Montag, 23. August 2010

zurück . . . .