Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.ZBot.acr
Entdeckt am:03/08/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigre:181.760 Bytes
VDF Version:7.11.38.196 - Freitag, 3. August 2012
IVDF Version:7.11.38.196 - Freitag, 3. August 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.exmv
   •  Eset: Win32/Spy.Zbot.YW
     DrWeb: Trojan.PWS.Panda.547


Betriebsysteme:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • Erstellt Dateien
   • nderung an der Registry
   • Stiehlt Informationen

 Dateien  Die Datei kopiert sich selbst an den folgenden Speicherort. Bei dieser Datei sind zufllige Bytes angehngt oder gendert, sodass sie sich von der Originaldatei unterscheiden kann:
   • %APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe



Es werden folgende Verzeichnisse erstellt:
   • %APPDATA%\%zufllige Buchstabenkombination%
   • %APPDATA%\%zufllige Buchstabenkombination%



Es werden folgende Dateien erstellt:

%APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.%zufllige Buchstabenkombination% Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde.
%TEMPDIR%\TMP%Nummer%.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{%generierter CLSID%}"="c:\Documents and Settings\Use\Application Data\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\explorer.exe = %WINDIR%\explorer.exe

 Hintertr Kontaktiert Server:
Alle der folgenden:
   • http://sadawehot.net/e**********g.php
   • http://sadawehot.net/e**********in.php

Hierdurch knnen Informationen gesendet und Hintertrfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

 Injektion  Es injiziert sich selbst als Remote-Thread in Prozesse.

    Alle der folgenden Prozesse:
   • %WINDIR%\Explorer.EXE
   • %SYSDIR%\cmd.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • %generierter CLSID%

Die Beschreibung wurde erstellt von Tudor Ciochina am Dienstag, 25. September 2012
Die Beschreibung wurde geändert von Tudor Ciochina am Dienstag, 25. September 2012

zurück . . . .