Nume:TR/Spy.ZBot.idk
Descoperit pe data de:18/12/2008
Tip:Troian
Subtip:Spy
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Versiune IVDF:7.01.00.251 - jeudi 18 décembre 2008

 General Metode de raspandire:
   • Email


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.idk
   •  F-Secure: Trojan-Spy:W32/Zbot.AAR
   •  Sophos: Mal/EncPk-CZ
   •  Eset: Win32/Spy.Zbot.CU trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\twext.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://sosfichier.com/**********er.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\4.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Vechea valoare:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"

 Backdoor Deschide portul

– svchost.exe port TCP aleator


Servere contactate:

   • http://elenahysd.ru/**********/conf.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Thomas Wegele le jeudi 18 décembre 2008
Description mise à jour par Thomas Wegele le jeudi 18 décembre 2008

Retour . . . .