Nom:TR/Spy.ZBot.DPF
La date de la découverte:05/08/2008
Type:Cheval de Troie
Sous type:Spy
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:58.368 Octets
Somme de contrôle MD5:eead764389f7e2b1939d147b198443a3
Version IVDF:7.00.05.216 - mardi 5 août 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Trojan.Wsnpoem
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan-Spy.Win32.Zbot.dri
   •  TrendMicro: TSPY_ZBOT.RK
   •  F-Secure: Trojan-Spy.Win32.Zbot.dri
   •  Sophos: Troj/Agent-HJN
   •  Eset: a variant of Win32/Spy.Agent.NES trojan


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\ntos.exe



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://dr-mahmoud.com/**********x.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\5.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Small.zou

 Registre La clé de registre suivante est changée:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   L'ancienne valeur:
   • "userinit"="%SYSDIR%\userinit.exe,"
   La nouvelle valeur:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Porte dérobée Le port suivant est ouvert:

– svchost.exe sur un port TCP aléatoire


Serveur de contact:
Le suivant:
   • http://ahleinaks.ru/**********millionertest.bin

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • winlogon.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le mardi 5 août 2008
Description mise à jour par Philipp Wolf le mercredi 6 août 2008

Retour . . . .