Nome del virus:TR/Spy.ZBot.dnv
Scoperto:31/07/2008
Tipo:Trojan
Sottotipo:Spy
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:60.416 Byte
Somma di controllo MD5:fa9e2f54724b0af452a91c8dd72814eb
Versione IVDF:7.00.05.195 - giovedì 31 luglio 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Trojan.Wsnpoem
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan-Spy.Win32.Zbot.dnv
   •  TrendMicro: TSPY_ZBOT.OJ
   •  F-Secure: Trojan-Spy.Win32.Zbot.dnv
   •  Sophos: Troj/Zbot-AE
   •  Grisoft: Pakes_c_SE
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Agent.AJKG


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ntos.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Prova a scaricare un file:

– La posizione è la seguente:
   • http://66.199.242.115/**********.exe
Viene salvato in locale sotto: %TEMPDIR%\feed.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Drop.Agent.VUF

 Registro Viene cambiata la seguente chiave di registro:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Valore precedente:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Nuovo valore:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Viene aperta la seguente porta:

– svchost.exe su una porta TCP casuale


Contatta il server:
Il seguente:
   • http://ahleinaks.ru/**********millioner.bin

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\ntos.exe

    Nome del processo:
   • winlogon.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andreas Feuerstein su giovedì 31 luglio 2008
Descrizione aggiornata da Andreas Feuerstein su giovedì 31 luglio 2008

Indietro . . . .