Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.ZBot.pcd
Entdeckt am:15/07/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:118.272 Bytes
MD5 Prfsumme:34785719f9f106ea4183e081a1497cb7
IVDF Version:7.10.09.92 - Donnerstag, 15. Juli 2010

 General Aliases:
   •  Bitdefender: Trojan.Generic.KD.20255
   •  Panda: Trj/Sinowal.XFF
   •  Eset: Win32/Spy.Zbot.YW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
        CVE-2007-1204
        MS07-019

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sdra64.exe



Es werden folgende Dateien erstellt:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\lowsec\user.ds.lll



Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://113.11.194.175/uk/**********

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



Folgende Registryschlssel werden hinzugefgt:

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%Name des Computers%_7875768FCFF3ECE1"

[HKEY_USERS\.DEFAULT\Software\Microsoft\
   Protected Storage System Provider\S-1-5-18\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,57,6F,9D,AF,7D,E6,36,AA,6A,68,3F,AE,02,8D,CA,CC,DD,E1,53,47,27,16,AD,AE,10,00,00,00,89,3D,50,AD,A5,CF,68,A8,24,AE,9C,50,4F,CE,FB,3C,14,00,00,00,0E,7A,2E,62,67,02,4C,87,2F,B9,82,BD,14,A7,14,EA,6E,C9,BA,57

[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-19]
   • "Migrate"=dword:0x00000002

[HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D

[HKEY_USERS\S-1-5-19\Software\Microsoft\
   Protected Storage System Provider\S-1-5-19\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,AF,F8,93,D1,AB,2B,B1,F0,C3,9D,47,15,85,46,2E,DE,73,10,CA,79,90,78,B0,27,10,00,00,00,CD,A2,D0,3B,A8,18,52,9F,86,1D,33,31,B4,4E,20,F1,14,00,00,00,CE,58,EE,A8,EA,9F,7A,D0,0E,29,75,B9,82,16,9B,9B,BF,54,67,5C

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-18]
   • "Migrate"=dword:0x00000002

[HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%Name des Computers%_7875768FCFF3ECE1"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%Name des Computers%_7875768FCFF3ECE1"



Folgende Registryschlssel werden gendert:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Neuer Wert:
   • "ParseAutoexec"="1"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Neuer Wert:
   • "ParseAutoexec"="1"

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • winlogon.exe



Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • svchost.exe



Es injiziert sich als einen Remote Thread in einen Prozess.

Es wird in alle Prozesse injiziert.


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • _AVIRA_2110
   • _AVIRA_2109
   • _AVIRA_2108
   • _AVIRA_2101
   • _AVIRA_21099

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 12. November 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 12. November 2010

zurück . . . .