Nome del virus:TR/Spy.ZBot.dkx
Scoperto:25/07/2008
Tipo:Trojan
Sottotipo:Spy
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:56.320 Byte
Somma di controllo MD5:dd2bddde963c8f6d5a9f0C0De6d4457b
Versione IVDF:7.00.05.168 - venerdì 25 luglio 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan-Spy.Win32.Zbot.dkx
   •  F-Secure: Trojan-Spy.Win32.Zbot.dkx
   •  Sophos: Mal/Spy-A
   •  VirusBuster: TrojanSpy.Zbot.RC
   •  Eset: Win32/Spy.Agent.NHU
   •  Bitdefender: Trojan.Spy.Wsnpoem.EK


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ntos.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Prova a scaricare un file:

– La posizione è la seguente:
   • http://alparslanovayurt.com/**********ldr.exe
Viene salvato in locale sotto: %TEMPDIR%\4.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Agent.xft

 Registro Viene cambiata la seguente chiave di registro:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Valore precedente:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Nuovo valore:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


Oggetto:
Il seguente:
   • Parcel requires declaration



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • Good day,
     
     We have received a parcel for you, sent from France on July 9. Please fill out the customs declaration attached to this message and send it to us by mail or fax. The address and the fax number are at the bottom of the declaration form.
     
     Kind regards,
     Lucinda Addison
     Your Customs Service


File allegato:
Il nome del file allegato è:
   • Bill_Tax.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 Backdoor Viene aperta la seguente porta:

– svchost.exe su una porta TCP casuale


Contatta il server:
Il seguente:
   • http://baltikaredison.ru/**********alaska.bin

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\ntos.exe

    Nome del processo:
   • winlogon.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su venerdì 25 luglio 2008
Descrizione aggiornata da Thomas Wegele su venerdì 25 luglio 2008

Indietro . . . .