Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Spy.ZBot.29.7
Data em que surgiu:23/12/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:279.200 Bytes
MD5 checksum:B59F00DC6A01949886EAC0022ADCAC74
Versão VDF:7.10.07.76
Versão IVDF:7.11.00.148 - quinta-feira, 23 de dezembro de 2010

 Vulgarmente Meio de transmissão:
   • E-mail
   • Messenger


Alias:
   •  TrendMicro: TROJ_BANKER.EXK
   •  Sophos: Troj/Bancos-BKP
   •  Microsoft: Backdoor:Win32/Qakbot


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe



São criados os seguintes ficheiros:

– %ALLUSERSPROFILE%\Application Data\Microsoft\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.dll

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="\"%ALLUSERSPROFILE%\Application Data\Microsoft\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe\""



É adicionada a seguinte chave de registo:

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000



Altera as seguintes chaves de registo do Windows:

Opções de segurança baixa no Internet Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   Valor recente:
   • "ProxyBypass"=dword:00000001
   • "IntranetName"=dword:00000001
   • "UNCAsIntranet"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Windows Live Messenger

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: **********server.com.ua
Porta: 31666

 Terminar o processo São terminados os processos com um dos seguintes textos:
   • bitdef
   • ccsvchst
   • kaspersky
   • mcafee
   • symantec
   • trendmicro
   • f-prot
   • drweb
   • clam
   • avast


 Backdoor Contacta o servidor:
Seguintes:
   • **********.4.45.64:21
   • **********.227.214.95:21
   • **********220.215.107:21
   • **********e12.hostingmadeeasy.com:21
   • **********.compuvisionenlinea.com:21
   • **********t307.hostmonster.com:21
   • **********lunariffic.com:21
   • **********img.in:80

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • o URL visitado
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Executa o ficheiro
    • Visita um Web site

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

– Usa um sniffer de rede para pesquisar os seguintes textos:
   • ibanking-services
   • ibank
   • huntington
   • wellsfargo
   • citigroup
   • bankofamerica
   • 53.com
   • usbank.com

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • 53.com
   • banking
   • bankofamerica
   • citigroup
   • huntington
   • ibank
   • ibanking-services
   • money
   • netbank
   • pin
   • suntrust
   • usbank.com
   • wachovia.com
   • wellsfargo

– Captura:
    • Informação de login

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Todos os processos que se seguem:
   • explorer.exe
   • iexplore.exe



Propósito:
O acesso aos seguintes sites é bloqueado:
   • *avast*; *ca.com*; *omodo*; *cpsecure*; *esafe*; *etrust*; *f-prot*;
      *fortinet*; *hauri*; *ikarus*; *jotti*; *k7computing*; *norton*;
      *pctools*; *sunbelt*; *wilderssecurity*; *threatexpert*; *pamhaus*;
      *securecomputing*; *rising*; *quickheal*; *prevx*; *norman*;
      *networkassociates*; *hacksoft*; *grisoft*; *gdata*; *f-secure*;
      *ewido*; *emsisoft*; *computerassociates*; *centralcommand*;
      *castlecops*; *arcabit*; *ahnlab*; *agnitum*


 Informações diversas Recursos de acesso à Internet:
   • http://www.ip-adress.com/what_is_my_ip/
   • http://www.ipaddressworld.com/
   • search.msn.com


Dissimula ser um ficheiro de confiança:
O seu processo dissimula ser os seguintes processos de confiança: explorer.exe
O malware dissimula também o ícone. Como resultado, parece ser o processo mencionado anteriormente.

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Ilie em quarta-feira, 7 de setembro de 2011
Descrição atualizada por Andrei Ilie em quarta-feira, 7 de setembro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.