Nome del virus:TR/Spy.ZBot.bth
Scoperto:19/11/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:~ 56.320 Byte
Versione IVDF:7.01.00.106 - mercoledì 19 novembre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\ntos.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll

 Registro Viene cambiata la seguente chiave di registro:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Valore precedente:
   • userinit="%SYSDIR%\userinit.exe,"
   Nuovo valore:
   • userinit="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Viene aperta la seguente porta:

– svchost.exe su una porta TCP casuale


Contatta il server:
Il seguente:
   • http://aerophotodarkcity-newway.com/**********/cfg.bin

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • winlogon.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su mercoledì 19 novembre 2008
Descrizione aggiornata da Thomas Wegele su mercoledì 19 novembre 2008

Indietro . . . .