Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.ZBot.acr
Entdeckt am:03/08/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:181.760 Bytes
VDF Version:7.11.38.196 - Freitag, 3. August 2012
IVDF Version:7.11.38.196 - Freitag, 3. August 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.exmv
   •  Eset: Win32/Spy.Zbot.YW
   •  DrWeb: Trojan.PWS.Panda.547


Betriebsysteme:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Erstellt Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien  Die Datei kopiert sich selbst an den folgenden Speicherort. Bei dieser Datei sind zufällige Bytes angehängt oder geändert, sodass sie sich von der Originaldatei unterscheiden kann:
   • %APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe



Es werden folgende Verzeichnisse erstellt:
   • %APPDATA%\%zufällige Buchstabenkombination%
   • %APPDATA%\%zufällige Buchstabenkombination%



Es werden folgende Dateien erstellt:

– %APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.%zufällige Buchstabenkombination% Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
%TEMPDIR%\TMP%Nummer%.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{%generierter CLSID%}"="c:\Documents and Settings\Use\Application Data\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\explorer.exe = %WINDIR%\explorer.exe

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://sadawehot.net/e**********g.php
   • http://sadawehot.net/e**********in.php

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

 Injektion – Es injiziert sich selbst als Remote-Thread in Prozesse.

    Alle der folgenden Prozesse:
   • %WINDIR%\Explorer.EXE
   • %SYSDIR%\cmd.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • %generierter CLSID%

Die Beschreibung wurde erstellt von Tudor Ciochina am Dienstag, 25. September 2012
Die Beschreibung wurde geändert von Tudor Ciochina am Dienstag, 25. September 2012

zurück . . . .