Nome del virus:TR/Spy.Zbot.gay
Scoperto:18/08/2010
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:126.528 Byte
Somma di controllo MD5:a1d17eddc4e8ca9d1cd2bc12ad3cb942
Versione IVDF:7.10.11.01 - lunedì 23 agosto 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Bredolab.hdt
   •  F-Secure: Trojan:W32/Agent.DKKG
   •  Sophos: Troj/MDrop-CVA
   •  Panda: Trj/CI.A
   •  Eset: Win32/Spy.Zbot.YW
   •  AhnLab: Win-Trojan/Agent.126528.C
   •  DrWeb: Trojan.PWS.Panda.428
   •  Ikarus: Trojan.Injector
   •  Norman: W32/Smalltroj.ZJAJ

Precedentemente individuato come:
   •  TR/Injector.AL


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

 File Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– %APPDATA%\%directory scelta casualmente%\%stringa di caratteri casuale%.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
– %APPDATA%\%directory scelta casualmente%\%stringa di caratteri casuale% Questo è un file di testo “non maligno” che contiene informazioni sul programma stesso.
%TEMPDIR%\\%directory scelta casualmente%\%stringa di caratteri casuale%.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\%stringa di caratteri casuale%]

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Carlos Valero Llabata su lunedì 23 agosto 2010
Descrizione aggiornata da Carlos Valero Llabata su lunedì 23 agosto 2010

Indietro . . . .