Nume:TR/Spy.ZBot.dbi
Descoperit pe data de:09/07/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:56.832 Bytes
MD5:5a1434342ac892e7fc3c004977de6fd3
Versiune IVDF:7.00.05.71 - mercredi 9 juillet 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.dbi
   •  F-Secure: Trojan-Downloader:W32/Zlob.HSY
   •  Sophos: Troj/Agent-HEY
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zbot.GF


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Registrii sistemului Urmatoarele chei din registri sunt modificate:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Vechea valoare:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

– [HKLM\software\microsoft\Windows nt\currentversion\network]
   Noua valoare:
   • "UID"="%numele computerului%_%valori hex%"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • Ihr UPS Paket %combinatie de caractere aleatoare%



Corpul email-ului:
Corpul email-ului este:

   • Guten Tag,
     leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
     die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
     und holen Sie ihr Paket bei uns ab.
     Mit freundlichen Grussen,
     Ihre UPS


Atasament:
Numele fisierului atasat este urmatorul:
   • UPS_Lieferschein.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 Backdoor Deschide portul

– svchost.exe port TCP aleator


Servere contactate:

   • http://fixbserver.ru/**********AhsAAs.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Thomas Wegele le mercredi 9 juillet 2008
Description mise à jour par Thomas Wegele le mercredi 9 juillet 2008

Retour . . . .