Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.Zb.ae.118784
Entdeckt am:14/05/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:118.784 Bytes
MD5 Prüfsumme:4dc14290fb2cb22e11e3a1d24aa09dc1
VDF Version:7.10.03.22
IVDF Version:7.10.07.108 - Freitag, 14. Mai 2010

 Allgemein Verbreitungsmethode:
   • Peer to Peer


Aliases:
   •  Bitdefender: Trojan.Generic.4448808
   •  Panda: Trj/Sinowal.XHI
   •  Eset: Win32/Spy.Zbot.YW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
      •  CVE-2007-1204
      •  MS07-019

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sdra64.exe



Es werden folgende Dateien erstellt:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\lowsec\user.ds.lll

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



Folgende Registryschlüssel werden hinzugefügt:

– [HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-20]
   • "Migrate"=dword:0x00000002

– [HKEY_USERS\S-1-5-20\Software\Microsoft\
   Protected Storage System Provider\S-1-5-20\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,6D,DB,FE,19,ED,B6,6C,F2,56,86,31,BD,12,FB,6F,BB,00,86,57,A4,41,28,EB,06,10,00,00,00,89,3D,50,AD,A5,CF,68,A8,24,AE,9C,50,4F,CE,FB,3C,14,00,00,00,C6,6E,5C,0C,61,D1,67,62,E7,97,8F,47,ED,6F,87,F9,41,C0,9B,C5

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%Name des Computers%_7875768FCFF3ECE1"

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D

– [HKEY_USERS\.DEFAULT\Software\Microsoft\
   Protected Storage System Provider\S-1-5-18\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,2C,3F,19,91,9B,FA,E1,E9,3C,EC,47,57,9D,58,B0,8C,CE,E0,C2,55,B3,A0,92,BF,10,00,00,00,88,F2,ED,F5,9C,51,81,3E,99,80,43,85,7D,A5,4F,7D,14,00,00,00,86,B4,0A,71,D5,43,63,CA,5C,FF,9F,0E,13,1B,E5,E6,EF,AA,5D,4A

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D

– [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-18]
   • "Migrate"=dword:0x00000002

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%Name des Computers%_7875768FCFF3ECE1"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%Name des Computers%_7875768FCFF3ECE1"



Folgende Registryschlüssel werden geändert:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Neuer Wert:
   • "ParseAutoexec"="1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Neuer Wert:
   • "ParseAutoexec"="1"

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:   Um Standard-Download-Verzeichnisse in Erfahrung zu bringen werden folgende Registry Einträge ausgelesen:
   • software\flashfxp\3
   • software\ghisler\total commander
   • software\ipswitch\ws_ftp
   • software\far\plugins\ftp\hosts
   • software\far2\plugins\ftp\hosts
   • software\martin prikryl\winscp 2\sessions
   • software\ftpware\coreftp\sites
   • software\smartftp\client 2.0\settings\general\favorites


 Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • winlogon.exe



– Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • svchost.exe



– Es injiziert sich als einen Remote Thread in einen Prozess.

Es wird in alle Prozesse injiziert.


 Diverses Greift auf Internetressourcen zu:
   • http://www.oomseekerss.ru/img/**********


Mutex:
Es werden folgende Mutexe erzeugt:
   • _AVIRA_2110
   • _AVIRA_2109
   • _AVIRA_2108
   • _AVIRA_2101
   • _AVIRA_21099

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 4. Februar 2011
Die Beschreibung wurde geändert von Petre Galan am Freitag, 4. Februar 2011

zurück . . . .