Nom:TR/Spy.ZBot.R
La date de la découverte:26/09/2007
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Non
Version IVDF:7.00.00.16 - mercredi 26 septembre 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.r
   •  F-Secure: Trojan-Spy.Win32.Zbot.r
   •  Sophos: Troj/Zbot-A


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\ntos.exe



Il supprime le fichier suivant:
   • %cookies%\*.*



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://81.95.145.241/**********/ldr.exe
   • http://66.235.175.5/**********/ldr.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\18.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • Userinit = %SYSDIR%\userinit.exe,
   La nouvelle valeur:
   • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   La nouvelle valeur:
   • UID = %le nom de l'ordinateur%_%numéro hexadécimal%

 Porte dérobée Les ports suivants sont ouverts:

– svchost.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée
– svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
– svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.


Serveur de contact:
Un des suivants::
   • http://81.95.145.241/**********/cfg.bin
   • http://66.235.175.5/**********/cfg.bin

Le suivant:
   • http://75.126.64.11/**********/s.php

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • svchost.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le mercredi 24 octobre 2007
Description mise à jour par Andrei Gherman le mercredi 24 octobre 2007

Retour . . . .