Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.ZBot.pcp
Entdeckt am:15/07/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:118272 Bytes
MD5 Prfsumme:8603e529ee23ac7e1213d5b5e14c66d7
VDF Version:7.10.04.13
IVDF Version:7.10.09.92 - Donnerstag, 15. Juli 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Scar.cndh
   •  TrendMicro: TROJ_MEREDROP.SY
   •  F-Secure: Trojan.Win32.Scar.cndh
   •  Eset: Win32/Spy.Zbot.YW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Ldt eine Dateien herunter
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sdra64.exe



Es wird folgendes Verzeichnis erstellt:
   • %SYSDIR%\lowsec



Es werden folgende Dateien erstellt:

Nicht virulente Dateien:
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds.lll




Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://113.11.194.175/us/**********

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,,%SYSDIR%\sdra64.exe,"



Folgende Registryschlssel werden hinzugefgt:

[HKCU\software\microsoft\windows\currentversion\explorer\
   {35106240-D2F0-DB35-716E-127EB80A0299}\
   {33373039-3132-3864-6B30-303233343434}]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%Name des Computers%_B4DF76112BF9218C"

[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%Name des Computers%_B4DF76112BF9218C"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "ParseAutoexec"="1"



Folgende Registryschlssel werden gendert:

Deaktiviere Windows Firewall:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Neuer Wert:
   • "EnableFirewall"=dword:00000000

Deaktiviere Windows Firewall:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Neuer Wert:
   • "EnableFirewall"=dword:00000000

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • svchost.exe



Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • services.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 16. September 2010
Die Beschreibung wurde geändert von Ana Maria Niculescu am Donnerstag, 16. September 2010

zurück . . . .