Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.ZBot.pcp
Entdeckt am:15/07/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:118272 Bytes
MD5 Prüfsumme:8603e529ee23ac7e1213d5b5e14c66d7
VDF Version:7.10.04.13
IVDF Version:7.10.09.92 - Donnerstag, 15. Juli 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Scar.cndh
   •  TrendMicro: TROJ_MEREDROP.SY
   •  F-Secure: Trojan.Win32.Scar.cndh
   •  Eset: Win32/Spy.Zbot.YW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt eine Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sdra64.exe



Es wird folgendes Verzeichnis erstellt:
   • %SYSDIR%\lowsec



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds.lll




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://113.11.194.175/us/**********

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,,%SYSDIR%\sdra64.exe,"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\software\microsoft\windows\currentversion\explorer\
   {35106240-D2F0-DB35-716E-127EB80A0299}\
   {33373039-3132-3864-6B30-303233343434}]
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%Name des Computers%_B4DF76112BF9218C"

– [HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%Name des Computers%_B4DF76112BF9218C"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "ParseAutoexec"="1"



Folgende Registryschlüssel werden geändert:

Deaktiviere Windows Firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Neuer Wert:
   • "EnableFirewall"=dword:00000000

Deaktiviere Windows Firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Neuer Wert:
   • "EnableFirewall"=dword:00000000

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • svchost.exe



– Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • services.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 16. September 2010
Die Beschreibung wurde geändert von Ana Maria Niculescu am Donnerstag, 16. September 2010

zurück . . . .