Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Spy.ZBot.HB
Data em que surgiu:01/09/2010
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:896.000 Bytes
MD5 checksum:ca740afab1bc3a6b884d8f40506a7da8
Verso VDF:7.10.04.238
Verso IVDF:7.10.11.68 - quarta-feira, 1 de setembro de 2010

 Vulgarmente Alias:
   •  Sophos: Mal/Agent-IE
   •  Bitdefender: Trojan.Generic.KD.32217
   •  Panda: Trj/Sinowal.WXO
   •  Eset: Win32/Spy.Zbot.NJ


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informao de roubos
   • Aproveita-se de vulnerabilidades do software
CVE-2007-1204
MS07-019

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\sdra64.exe



So criados os seguintes ficheiros:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\lowsec\user.ds.lll

 Registry (Registo do Windows) Cria a seguinte entrada de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



So adicionadas as seguintes chaves ao registo:

[HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-20]
   • "Migrate"=dword:0x00000002

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%nome do computador%_001DAA3D"

[HKEY_USERS\S-1-5-20\Software\Microsoft\
   Protected Storage System Provider\S-1-5-20\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,C3,27,A1,10,BF,2D,8B,DE,C7,10,CD,CB,26,6D,90,34,DE,51,DF,FF,11,58,B7,45,10,00,00,00,89,3D,50,AD,A5,CF,68,A8,24,AE,9C,50,4F,CE,FB,3C,14,00,00,00,C6,6E,5C,0C,61,D1,67,62,E7,97,8F,47,ED,6F,87,F9,41,C0,9B,C5

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%nome do computador%_001DBD57"

[HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{35106240-D2F0-DB35-716E-127EB80A0299}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:47,09,F2,0D

[HKEY_USERS\.DEFAULT\Software\Microsoft\
   Protected Storage System Provider\S-1-5-18\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,76,A4,13,0B,EE,BB,BA,A6,65,40,F9,82,6F,2F,C6,07,69,20,FD,92,36,33,0A,EA,10,00,00,00,88,F2,ED,F5,9C,51,81,3E,99,80,43,85,7D,A5,4F,7D,14,00,00,00,86,B4,0A,71,D5,43,63,CA,5C,FF,9F,0E,13,1B,E5,E6,EF,AA,5D,4A

[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-19]
   • "Migrate"=dword:0x00000002

[HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:47,09,F2,0D

[HKEY_USERS\S-1-5-19\Software\Microsoft\
   Protected Storage System Provider\S-1-5-19\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,B5,22,D0,20,24,36,8A,F8,B1,5D,0D,2C,F3,99,98,46,8F,1D,E2,AF,3F,11,DB,D6,10,00,00,00,CD,A2,D0,3B,A8,18,52,9F,86,1D,33,31,B4,4E,20,F1,14,00,00,00,CE,58,EE,A8,EA,9F,7A,D0,0E,29,75,B9,82,16,9B,9B,BF,54,67,5C

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-18]
   • "Migrate"=dword:0x00000002

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%nome do computador%_001DB78B"



Altera as seguintes chaves de registo do Windows:

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • "Start Page"=""

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Valor recente:
   • "ParseAutoexec"="1"

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Valor recente:
   • "ParseAutoexec"="1"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Valor recente:
   • "ParseAutoexec"="1"

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • "Start Page"=""

 Roubos de informao Tenta roubar a seguinte informao:

iniciada uma rotina de logging depois de visitar um Web site:
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • winlogon.exe



Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • svchost.exe



Introduz-se a si prprio como uma tarefa remota num processo.

injetado em todos os processos.


 Informaes diversas Recursos de acesso Internet:
   • http://nascetur.com:81/wc/**********


Mutex:
Cria os seguintes Mutexes:
   • _AVIRA_2110
   • _AVIRA_2101
   • _AVIRA_2109
   • _AVIRA_2108
   • _AVIRA_21099

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 28 de fevereiro de 2011
Descrição atualizada por Petre Galan em segunda-feira, 28 de fevereiro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.