Nume:TR/Spy.Zbot.nm
Descoperit pe data de:24/01/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:44.000 Bytes
Versiune IVDF:7.00.02.39 - Thursday, January 24, 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.nm
   •  F-Secure: Trojan-Spy.Win32.Zbot.nm
   •  Panda: Trj/Sinowal.ABH
   •  Eset: Win32/Spy.Agent.PZ trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "userinit" = "%SYSDIR%\userinit.exe,"
   Noua valoare:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Deschide porturile:

– svchost.exe port TCP aleator pentru a oferi functionalitate de backdoor.
– svchost.exe port TCP aleator pentru a functiona ca server proxy.
– svchost.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,


Servere contactate:

   • http://77.221.133.188/**********/cfg.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • svchost.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Thomas Wegele on Tuesday, March 4, 2008
Description updated by Thomas Wegele on Tuesday, March 4, 2008

Back . . . .