Nome del virus:TR/Spy.ZBot.R
Scoperto:26/09/2007
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:No
Versione IVDF:7.00.00.16 - mercoledì 26 settembre 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.r
   •  F-Secure: Trojan-Spy.Win32.Zbot.r
   •  Sophos: Troj/Zbot-A


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ntos.exe



Cancella il seguente file:
   • %cookies%\*.*



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://81.95.145.241/**********/ldr.exe
   • http://66.235.175.5/**********/ldr.exe
Viene salvato in locale sotto: %TEMPDIR%\18.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • Userinit = %SYSDIR%\userinit.exe,
   Nuovo valore:
   • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Nuovo valore:
   • UID = %nome del computer%_%numero esadecimale%

 Backdoor Le seguenti porte sono aperte:

– svchost.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.
– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy.
– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.


Contatta il server:
Uno dei seguenti:
   • http://81.95.145.241/**********/cfg.bin
   • http://66.235.175.5/**********/cfg.bin

Il seguente:
   • http://75.126.64.11/**********/s.php

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • svchost.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su mercoledì 24 ottobre 2007
Descrizione aggiornata da Andrei Gherman su mercoledì 24 ottobre 2007

Indietro . . . .