Nume:TR/Spy.ZBot.R
Descoperit pe data de:26/09/2007
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Versiune IVDF:7.00.00.16 - Wednesday, September 26, 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.r
   •  F-Secure: Trojan-Spy.Win32.Zbot.r
   •  Sophos: Troj/Zbot-A


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sterge urmatorul fisier:
   • %cookies%\*.*



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • http://81.95.145.241/**********/ldr.exe
   • http://66.235.175.5/**********/ldr.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\18.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • Userinit = %SYSDIR%\userinit.exe,
   Noua valoare:
   • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Noua valoare:
   • UID = %numele computerului%_%numar hexazecimal%

 Backdoor Deschide porturile:

– svchost.exe port TCP aleator pentru a oferi functionalitate de backdoor.
– svchost.exe port TCP aleator pentru a functiona ca server proxy.
– svchost.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,


Servere contactate:
Unul dintre:
   • http://81.95.145.241/**********/cfg.bin
   • http://66.235.175.5/**********/cfg.bin

Urmatorul:
   • http://75.126.64.11/**********/s.php

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • svchost.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Wednesday, October 24, 2007
Description updated by Andrei Gherman on Wednesday, October 24, 2007

Back . . . .