Nume:TR/Spy.ZBot.DFO
Descoperit pe data de:20/08/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:73.216 Bytes
MD5:df73c2b3562ef157c10ba1a16b4c8885
Versiune IVDF:7.00.06.45 - mercredi 20 août 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: New Malware.ix
   •  Kaspersky: Trojan-Spy.Win32.Zbot.edw
   •  TrendMicro: TROJ_RENOS.AIG
   •  F-Secure: Trojan-Spy.Win32.Zbot.edw
   •  Sophos: Mal/EncPk-CZ
   •  Grisoft: Agent.AADX
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Wsnpoem.GT


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://66.199.242.115/**********l.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\5.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.RKit.BJ


– Adresa este urmatoarea:
   • http://66.199.242.115/**********er.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\6.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Cutwail.AO

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Vechea valoare:
   • userinit="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • userinit="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Deschide portul

– svchost.exe port TCP aleator


Servere contactate:

   • http://blatundalqik.ru/**********rev.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Thomas Wegele le jeudi 21 août 2008
Description mise à jour par Thomas Wegele le jeudi 21 août 2008

Retour . . . .