Nombre:TR/Spy.Zbot.gay
Descubierto:18/08/2010
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:126.528 Bytes
Suma de control MD5:a1d17eddc4e8ca9d1cd2bc12ad3cb942
Versión del IVDF:7.10.11.01 - lunes 23 de agosto de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Backdoor.Win32.Bredolab.hdt
   •  F-Secure: Trojan:W32/Agent.DKKG
   •  Sophos: Troj/MDrop-CVA
   •  Panda: Trj/CI.A
   •  Eset: Win32/Spy.Zbot.YW
   •  AhnLab: Win-Trojan/Agent.126528.C
   •  DrWeb: Trojan.PWS.Panda.428
   •  Ikarus: Trojan.Injector
   •  Norman: W32/Smalltroj.ZJAJ

Identificado anteriormente como:
   •  TR/Injector.AL


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Suelta ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– %APPDATA%\%directorio escogido de forma aleatoria%\%serie de caracteres aleatorios%.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral.
– %APPDATA%\%directorio escogido de forma aleatoria%\%serie de caracteres aleatorios% Este es un fichero sin código viral y contiene información acerca del programa en sí.
%TEMPDIR%\\%directorio escogido de forma aleatoria%\%serie de caracteres aleatorios%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\%serie de caracteres aleatorios%]

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Carlos Valero Llabata el lunes 23 de agosto de 2010
Descripción actualizada por Carlos Valero Llabata el lunes 23 de agosto de 2010

Volver . . . .