Nume:TR/Spy.ZBot.bth
Descoperit pe data de:19/11/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~ 56.320 Bytes
Versiune IVDF:7.01.00.106 - quarta-feira, 19 de novembro de 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Vechea valoare:
   • userinit="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • userinit="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Deschide portul

– svchost.exe port TCP aleator


Servere contactate:

   • http://aerophotodarkcity-newway.com/**********/cfg.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Thomas Wegele em quarta-feira, 19 de novembro de 2008
Descrição atualizada por Thomas Wegele em quarta-feira, 19 de novembro de 2008

Voltar . . . .