Nume:TR/Zapchas.F
Descoperit pe data de:17/11/2005
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:912.374 Bytes
MD5:d9696ca9402f9303ad63d45bf48dd320
Versiune VDF:6.32.00.190

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  F-Secure: Backdoor.IRC.Zapchast
   •  Sophos: Troj/Zapchas-CN
   •  Grisoft: IRC/BackDoor.Flood


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere  Creeaza urmatoarele directoare:
   • %SYSDIR%\download
   • %SYSDIR%\logs
   • %SYSDIR%\sounds



Sunt create fisierele:

– %SYSDIR%\fullname.txt
– %SYSDIR%\ident.txt
– %SYSDIR%\nicks.txt
– %SYSDIR%\popups.txt
– %SYSDIR%\svchost.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: W32/Parite

– %SYSDIR%\script.ini Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: IRC/Zapchast.M

– %SYSDIR%\mirc.ini
– %SYSDIR%\remote.ini
– %SYSDIR%\sup.bat
– %SYSDIR%\servers.ini
– %SYSDIR%\aliases.ini
– %SYSDIR%\control.ini
– %SYSDIR%\users.ini
– %SYSDIR%\mirc.ico
– %SYSDIR%\sup.reg

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "GNP Generic Host Process"="%SYSDIR%\svchost.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\WinRAR SFX]
   • "C%%WINDOWS%system%"="%SYSDIR%\"

Descrizione inserita da Adriana Popa su lunedì 4 dicembre 2006
Descrizione aggiornata da Adriana Popa su lunedì 4 dicembre 2006

Indietro . . . .