VírusTR/Spy.ZBot.dkx
Data em que surgiu:25/07/2008
Tipo:Trojan
Subtipo:Spy
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:56.320 Bytes
MD5 checksum:dd2bddde963c8f6d5a9f0C0De6d4457b
Versão IVDF:7.00.05.168 - sexta-feira, 25 de julho de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan-Spy.Win32.Zbot.dkx
   •  F-Secure: Trojan-Spy.Win32.Zbot.dkx
   •  Sophos: Mal/Spy-A
   •  VirusBuster: TrojanSpy.Zbot.RC
   •  Eset: Win32/Spy.Agent.NHU
   •  Bitdefender: Trojan.Spy.Wsnpoem.EK


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\ntos.exe



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://alparslanovayurt.com/**********ldr.exe
Encontra-se no disco rígido: %TEMPDIR%\4.tmp Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Agent.xft

 Registry (Registo do Windows) O seguinte valor do registo é alterado:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Valor anterior:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Valor recente:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
O seguinte:
   • Parcel requires declaration



Corpo:
O corpo do email é o seguinte:

   • Good day,
     
     We have received a parcel for you, sent from France on July 9. Please fill out the customs declaration attached to this message and send it to us by mail or fax. The address and the fax number are at the bottom of the declaration form.
     
     Kind regards,
     Lucinda Addison
     Your Customs Service


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • Bill_Tax.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Backdoor É aberta a seguinte porta:

– svchost.exe numa porta TCP aleatória


Contacta o servidor:
Seguinte:
   • http://baltikaredison.ru/**********alaska.bin

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\ntos.exe

    Nome do processo:
   • winlogon.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em sexta-feira, 25 de julho de 2008
Descrição atualizada por Thomas Wegele em sexta-feira, 25 de julho de 2008

Voltar . . . .