Nombre:TR/Spy.ZBot.DFR
Descubierto:02/09/2008
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:No
Tamaño:~83.968 Bytes
Versión del IVDF:7.00.06.101 - martes 2 de septiembre de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Spy-Agent.cf trojan
   •  Kaspersky: Trojan.Win32.Agent.acbn
   •  F-Secure: Trojan-Spy:W32/Zbot.SQ
   •  Sophos: Troj/NtRootK-DW
   •  Eset: Win32/Spy.Agent.NIQ trojan
   •  Bitdefender: Trojan.Spy.ZBot.KW


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\oembios.exe



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\sysproc64\sysproc32.sys
   • %SYSDIR%\sysproc64\sysproc32.sys.cla
   • %SYSDIR%\sysproc64\sysproc86.sys




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.goetschhofer.at/**********.exe
El fichero está guardado en el disco duro en: %TEMPDIR%\4.tmp Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Drop.RKit.BO

 Registro Modifica la siguiente clave del registro:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Valor anterior:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Nuevo valor:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\oembios.exe,"

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://malafikarubik.ru/revolution/rev.bin

De esta forma, puede enviar informaciones y obtener el control remoto.

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • winlogon.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Thomas Wegele el martes 2 de septiembre de 2008
Descripción actualizada por Thomas Wegele el martes 2 de septiembre de 2008

Volver . . . .