Nume:TR/Spy.ZBot.dkx
Descoperit pe data de:25/07/2008
Tip:Troian
Subtip:Spy
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:56.320 Bytes
MD5:dd2bddde963c8f6d5a9f0C0De6d4457b
Versiune IVDF:7.00.05.168 - sexta-feira, 25 de julho de 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Backdoor.Paproxy
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan-Spy.Win32.Zbot.dkx
   •  F-Secure: Trojan-Spy.Win32.Zbot.dkx
   •  Sophos: Mal/Spy-A
   •  VirusBuster: TrojanSpy.Zbot.RC
   •  Eset: Win32/Spy.Agent.NHU
   •  Bitdefender: Trojan.Spy.Wsnpoem.EK


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://alparslanovayurt.com/**********ldr.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\4.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Agent.xft

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Vechea valoare:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • Parcel requires declaration



Corpul email-ului:
Corpul email-ului este:

   • Good day,
     
     We have received a parcel for you, sent from France on July 9. Please fill out the customs declaration attached to this message and send it to us by mail or fax. The address and the fax number are at the bottom of the declaration form.
     
     Kind regards,
     Lucinda Addison
     Your Customs Service


Atasament:
Numele fisierului atasat este urmatorul:
   • Bill_Tax.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 Backdoor Deschide portul

– svchost.exe port TCP aleator


Servere contactate:

   • http://baltikaredison.ru/**********alaska.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\ntos.exe

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Thomas Wegele em sexta-feira, 25 de julho de 2008
Descrição atualizada por Thomas Wegele em sexta-feira, 25 de julho de 2008

Voltar . . . .