Nom:TR/Spy.ZBot.DFR
La date de la découverte:02/09/2008
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~83.968 Octets
Version IVDF:7.00.06.101 - mardi 2 septembre 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Spy-Agent.cf trojan
   •  Kaspersky: Trojan.Win32.Agent.acbn
   •  F-Secure: Trojan-Spy:W32/Zbot.SQ
   •  Sophos: Troj/NtRootK-DW
   •  Eset: Win32/Spy.Agent.NIQ trojan
   •  Bitdefender: Trojan.Spy.ZBot.KW


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\oembios.exe



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\sysproc64\sysproc32.sys
   • %SYSDIR%\sysproc64\sysproc32.sys.cla
   • %SYSDIR%\sysproc64\sysproc86.sys




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://www.goetschhofer.at/**********.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\4.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drop.RKit.BO

 Registre La clé de registre suivante est changée:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   L'ancienne valeur:
   • "userinit"="%SYSDIR%\userinit.exe,"
   La nouvelle valeur:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\oembios.exe,"

 Porte dérobée Serveur de contact:
Le suivant:
   • http://malafikarubik.ru/revolution/rev.bin

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • winlogon.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le mardi 2 septembre 2008
Description mise à jour par Thomas Wegele le mardi 2 septembre 2008

Retour . . . .