Nom:TR/Spy.Zbot.gay
La date de la découverte:18/08/2010
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:126.528 Octets
Somme de contrôle MD5:a1d17eddc4e8ca9d1cd2bc12ad3cb942
Version IVDF:7.10.11.01 - lundi 23 août 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Bredolab.hdt
   •  F-Secure: Trojan:W32/Agent.DKKG
   •  Sophos: Troj/MDrop-CVA
   •  Panda: Trj/CI.A
   •  Eset: Win32/Spy.Zbot.YW
   •  AhnLab: Win-Trojan/Agent.126528.C
   •  DrWeb: Trojan.PWS.Panda.428
   •  Ikarus: Trojan.Injector
   •  Norman: W32/Smalltroj.ZJAJ

Avant, il était détecté comme:
   •  TR/Injector.AL


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– %APPDATA%\%répertoire choisi de façon aléatoire%\%chaîne de caractères aléatoire%.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %APPDATA%\%répertoire choisi de façon aléatoire%\%chaîne de caractères aléatoire% Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.
%TEMPDIR%\\%répertoire choisi de façon aléatoire%\%chaîne de caractères aléatoire%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\
   %chaîne de caractères aléatoire%]

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • explorer.exe


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Carlos Valero Llabata le lundi 23 août 2010
Description mise à jour par Carlos Valero Llabata le lundi 23 août 2010

Retour . . . .