Nume:TR/Spy.ZBot.DFO
Descoperit pe data de:20/08/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:73.216 Bytes
MD5:df73c2b3562ef157c10ba1a16b4c8885
Versiune IVDF:7.00.06.45 - mercoledì 20 agosto 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: New Malware.ix
   •  Kaspersky: Trojan-Spy.Win32.Zbot.edw
   •  TrendMicro: TROJ_RENOS.AIG
   •  F-Secure: Trojan-Spy.Win32.Zbot.edw
   •  Sophos: Mal/EncPk-CZ
   •  Grisoft: Agent.AADX
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Wsnpoem.GT


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://66.199.242.115/**********l.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\5.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.RKit.BJ


– Adresa este urmatoarea:
   • http://66.199.242.115/**********er.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\6.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Cutwail.AO

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Vechea valoare:
   • userinit="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • userinit="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Deschide portul

– svchost.exe port TCP aleator


Servere contactate:

   • http://blatundalqik.ru/**********rev.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Thomas Wegele su giovedì 21 agosto 2008
Descrizione aggiornata da Thomas Wegele su giovedì 21 agosto 2008

Indietro . . . .