VírusTR/Spy.ZBot.R
Data em que surgiu:26/09/2007
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Não
Versão IVDF:7.00.00.16 - quarta-feira, 26 de setembro de 2007

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.r
   •  F-Secure: Trojan-Spy.Win32.Zbot.r
   •  Sophos: Troj/Zbot-A


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\ntos.exe



Elimina o seguinte ficheiro:
   • %cookies%\*.*



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • http://81.95.145.241/**********/ldr.exe
   • http://66.235.175.5/**********/ldr.exe
Encontra-se no disco rígido: %TEMPDIR%\18.tmp Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • Userinit = %SYSDIR%\userinit.exe,
   Valor recente:
   • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Valor recente:
   • UID = %nome do computador%_%número hexadecimal%

 Backdoor São abertas as seguintes portas:

– svchost.exe numa porta TCP aleatória Por forma a fornecer capacidades backdoor.
– svchost.exe numa porta TCP aleatória de forma a fornecer um servidor proxy.
– svchost.exe numa porta TCP aleatória de forma a fornecer um servidor proxy Socks 4.


Contacta o servidor:
Um dos seguintes:
   • http://81.95.145.241/**********/cfg.bin
   • http://66.235.175.5/**********/cfg.bin

Seguinte:
   • http://75.126.64.11/**********/s.php

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • svchost.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em quarta-feira, 24 de outubro de 2007
Descrição atualizada por Andrei Gherman em quarta-feira, 24 de outubro de 2007

Voltar . . . .