Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.ZBot.DFO
Scoperto:20/08/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:73.216 Byte
Somma di controllo MD5:df73c2b3562ef157c10ba1a16b4c8885
Versione IVDF:7.00.06.45 - mercoledì 20 agosto 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: New Malware.ix
   •  Kaspersky: Trojan-Spy.Win32.Zbot.edw
   •  TrendMicro: TROJ_RENOS.AIG
   •  F-Secure: Trojan-Spy.Win32.Zbot.edw
   •  Sophos: Mal/EncPk-CZ
   •  Grisoft: Agent.AADX
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Wsnpoem.GT


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file maligni
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ntos.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Prova a scaricare dei file:

La posizione la seguente:
   • http://66.199.242.115/**********l.exe
Viene salvato in locale sotto: %TEMPDIR%\5.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Drop.RKit.BJ


La posizione la seguente:
   • http://66.199.242.115/**********er.exe
Viene salvato in locale sotto: %TEMPDIR%\6.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Drop.Cutwail.AO

 Registro Viene cambiata la seguente chiave di registro:

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Valore precedente:
   • userinit="%SYSDIR%\userinit.exe,"
   Nuovo valore:
   • userinit="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Viene aperta la seguente porta:

svchost.exe su una porta TCP casuale


Contatta il server:
Il seguente:
   • http://blatundalqik.ru/**********rev.bin

Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • winlogon.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su giovedì 21 agosto 2008
Descrizione aggiornata da Thomas Wegele su giovedì 21 agosto 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.