Nombre:TR/Spy.ZBot.DPE
Descubierto:05/08/2008
Tipo:Troyano
Subtipo:Spy
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:59.904 Bytes
Suma de control MD5:606ab42e4c906f933bc9c5ab62b798d9
Versión del IVDF:7.00.05.213 - martes 5 de agosto de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  F-Secure: Trojan-PSW:W32/Zbot.FO
   •  Sophos: Troj/Agent-HJG
   •  Eset: Win32/Spy.Agent.NES trojan
   •  Bitdefender: Trojan.Agent.AJLI


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\ntos.exe



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://dr-mahmoud.com/**********.exe
El fichero está guardado en el disco duro en: %TEMPDIR%\1.tmp Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Small.zou

 Registro Modifica la siguiente clave del registro:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Valor anterior:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Nuevo valor:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


Asunto:
El siguiente:
   • Rechnung N%número%

El cuerpo del mensaje es uno de los siguientes:

   • Sehr geehre Damen und Herren,
     Ihr Auftrag Nr. SP7848895 wurde erfullt.
     Ein Betrag von 6536.02 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Paypalabbuchung ” angezeigt.
     Sie finden die Details zu der Rechnung im Anhang
     
     PayPal (Europe)
     S.158; r.l. & Cie, S.C.A.
     50-40 Boulevard Royal
     L-7672 Luxembourg
     
     Hochachtungsvoll,
     Vertretungsberechtigter: Armand Kruse
     Handelsregisternummer: R.C.S. B 285 380
     

   • Sehr geehrte Kunden,
     Ihr Auftrag Nr. SP8742024 wurde erfullt.
     Ein Betrag von 6127.53 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Paypalabbuchung " angezeigt.
     Sie finden die Details zu der Rechnung im Anhang
     
     PayPal (Europe)
     S.392; r.l. & Cie, S.C.A.
     63-88 Boulevard Royal
     L-2082 Luxembourg
     
     Mit freundlichen Grussen,
     Vertretungsberechtigter: Joanna Muller
     Handelsregisternummer: R.C.S. B 922 819
     


Archivo adjunto:
El nombre del fichero adjunto es:
   • REC719271.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Backdoor (Puerta trasera) Abre el siguiente puerto:

– svchost.exe en un puerto TCP aleatorio


Servidor contactado:
El siguiente:
   • http://ahleinaks.ru/**********/millionertest.bin

De esta forma, puede enviar informaciones y obtener el control remoto.

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\ntos.exe

    Nombre del proceso:
   • winlogon.exe


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Alexander Neth el martes 5 de agosto de 2008
Descripción actualizada por Philipp Wolf el martes 5 de agosto de 2008

Volver . . . .