Nume:TR/Spy.ZBot.DPE
Descoperit pe data de:05/08/2008
Tip:Troian
Subtip:Spy
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:59.904 Bytes
MD5:606ab42e4c906f933bc9c5ab62b798d9
Versiune IVDF:7.00.05.213 - Tuesday, August 5, 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  F-Secure: Trojan-PSW:W32/Zbot.FO
   •  Sophos: Troj/Agent-HJG
   •  Eset: Win32/Spy.Agent.NES trojan
   •  Bitdefender: Trojan.Agent.AJLI


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://dr-mahmoud.com/**********.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\1.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Small.zou

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Vechea valoare:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • Rechnung N%numar%

Corpul email-ului este unul din textele:

   • Sehr geehre Damen und Herren,
     Ihr Auftrag Nr. SP7848895 wurde erfullt.
     Ein Betrag von 6536.02 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Paypalabbuchung ” angezeigt.
     Sie finden die Details zu der Rechnung im Anhang
     
     PayPal (Europe)
     S.158; r.l. & Cie, S.C.A.
     50-40 Boulevard Royal
     L-7672 Luxembourg
     
     Hochachtungsvoll,
     Vertretungsberechtigter: Armand Kruse
     Handelsregisternummer: R.C.S. B 285 380
     

   • Sehr geehrte Kunden,
     Ihr Auftrag Nr. SP8742024 wurde erfullt.
     Ein Betrag von 6127.53 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Paypalabbuchung " angezeigt.
     Sie finden die Details zu der Rechnung im Anhang
     
     PayPal (Europe)
     S.392; r.l. & Cie, S.C.A.
     63-88 Boulevard Royal
     L-2082 Luxembourg
     
     Mit freundlichen Grussen,
     Vertretungsberechtigter: Joanna Muller
     Handelsregisternummer: R.C.S. B 922 819
     


Atasament:
Numele fisierului atasat este urmatorul:
   • REC719271.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul arata astfel:


 Backdoor Deschide portul

– svchost.exe port TCP aleator


Servere contactate:

   • http://ahleinaks.ru/**********/millionertest.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\ntos.exe

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Alexander Neth on Tuesday, August 5, 2008
Description updated by Philipp Wolf on Tuesday, August 5, 2008

Back . . . .