Nume:TR/Spy.Zbot.gay
Descoperit pe data de:18/08/2010
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:126.528 Bytes
MD5:a1d17eddc4e8ca9d1cd2bc12ad3cb942
Versiune IVDF:7.10.11.01 - Montag, 23. August 2010

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.Bredolab.hdt
   •  F-Secure: Trojan:W32/Agent.DKKG
   •  Sophos: Troj/MDrop-CVA
   •  Panda: Trj/CI.A
   •  Eset: Win32/Spy.Zbot.YW
   •  AhnLab: Win-Trojan/Agent.126528.C
   •  DrWeb: Trojan.PWS.Panda.428
   •  Ikarus: Trojan.Injector
   •  Norman: W32/Smalltroj.ZJAJ

Initial identificat ca:
   •  TR/Injector.AL


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Reduce setarile de securitate
   • Creeaza fisiere
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Sterge copia initiala a virusului.



Sunt create fisierele:

– %APPDATA%\%director ales aleator%\%combinatie de caractere aleatoare%.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware.
– %APPDATA%\%director ales aleator%\%combinatie de caractere aleatoare% Acesta este un fisier curat, care contine informatii despre programul in sine.
– %TEMPDIR%\\%director ales aleator%\%combinatie de caractere aleatoare%.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\
   %combinatie de caractere aleatoare%]

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Montag, 23. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Montag, 23. August 2010

zurück . . . .