Nom:TR/Spy.Zbot.nm
La date de la découverte:24/01/2008
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:44.000 Octets
Version IVDF:7.00.02.39 - jeudi 24 janvier 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.nm
   •  F-Secure: Trojan-Spy.Win32.Zbot.nm
   •  Panda: Trj/Sinowal.ABH
   •  Eset: Win32/Spy.Agent.PZ trojan


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\ntos.exe



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll

 Registre La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "userinit" = "%SYSDIR%\userinit.exe,"
   La nouvelle valeur:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Porte dérobée Les ports suivants sont ouverts:

– svchost.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée
– svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
– svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.


Serveur de contact:
Le suivant:
   • http://77.221.133.188/**********/cfg.bin

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • svchost.exe


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le mardi 4 mars 2008
Description mise à jour par Thomas Wegele le mardi 4 mars 2008

Retour . . . .