VírusTR/Spy.ZBot.dbi
Data em que surgiu:09/07/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:56.832 Bytes
MD5 checksum:5a1434342ac892e7fc3c004977de6fd3
Versão IVDF:7.00.05.71 - quarta-feira, 9 de julho de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.dbi
   •  F-Secure: Trojan-Downloader:W32/Zlob.HSY
   •  Sophos: Troj/Agent-HEY
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zbot.GF


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\ntos.exe



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\wnspoem\audio.dll
   • %SYSDIR%\wnspoem\video.dll

 Registry (Registo do Windows) Altera as seguintes chaves de registo do Windows:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Valor anterior:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Valor recente:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

– [HKLM\software\microsoft\Windows nt\currentversion\network]
   Valor recente:
   • "UID"="%nome do computador%_%valores hex%"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
O seguinte:
   • Ihr UPS Paket %uma série de caracteres aleatórios%



Corpo:
O corpo do email é o seguinte:

   • Guten Tag,
     leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
     die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
     und holen Sie ihr Paket bei uns ab.
     Mit freundlichen Grussen,
     Ihre UPS


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • UPS_Lieferschein.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Backdoor É aberta a seguinte porta:

– svchost.exe numa porta TCP aleatória


Contacta o servidor:
Seguinte:
   • http://fixbserver.ru/**********AhsAAs.bin

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • winlogon.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em quarta-feira, 9 de julho de 2008
Descrição atualizada por Thomas Wegele em quarta-feira, 9 de julho de 2008

Voltar . . . .