PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Spy.ZBot.idk
発見日:18/12/2008
タイプトロイの木馬
サブタイプSpy
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルいいえ
IVDFファージョン:7.01.00.251 - 2008年12月18日木曜日

 一般情報 感染方法
   • Eメール


別名
   •  Kaspersky(カスペルスキー) Trojan-Spy.Win32.Zbot.idk
   •  F-Secure(エフ・セキュア) Trojan-Spy:W32/Zbot.AAR
   •  Sophos(ソフォス) Mal/EncPk-CZ
   •  Eset Win32/Spy.Zbot.CU trojan


プラットフォーム/OS:
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\twext.exe




ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://sosfichier.com/**********er.exe
ハードディスクの以下のパスにセーヴされます: %TEMPDIR%\4.tmp ダウンロードが終了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Dropper.Gen

 レジストリ 以下のレジストリ・キーは変更されます:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   前の値
   • "userinit"="%SYSDIR%\userinit.exe,"
   新しい値
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"

 バックドア 以下のポートが開かれます:

– svchost.exe 無作為に選ばれたTCPポート上に


サーバに接続します。
以下のうちのどれか1つ:
   • http://elenahysd.ru/**********/conf.bin

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。

 ファイルの詳細 プログラム言語:
 このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Thomas Wegele の 2008年12月18日木曜日
説明の更新者 Thomas Wegele の 2008年12月18日木曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。