Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Spy.ZBot.29.7
Data em que surgiu:23/12/2010
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:279.200 Bytes
MD5 checksum:B59F00DC6A01949886EAC0022ADCAC74
Verso VDF:7.10.07.76
Verso IVDF:7.11.00.148 - quinta-feira, 23 de dezembro de 2010

 Vulgarmente Meio de transmisso:
   • E-mail
    Messenger


Alias:
   •  TrendMicro: TROJ_BANKER.EXK
   •  Sophos: Troj/Bancos-BKP
     Microsoft: Backdoor:Win32/Qakbot


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efeitos secundrios:
   • Possibilita acesso no autorizado ao computador
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para a seguinte localizao:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe



So criados os seguintes ficheiros:

%ALLUSERSPROFILE%\Application Data\Microsoft\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.dll

 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%uma srie de caracteres aleatrios%"="\"%ALLUSERSPROFILE%\Application Data\Microsoft\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe\""



adicionada a seguinte chave de registo:

[HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000



Altera as seguintes chaves de registo do Windows:

Opes de segurana baixa no Internet Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   Valor recente:
   • "ProxyBypass"=dword:00000001
   • "IntranetName"=dword:00000001
   • "UNCAsIntranet"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

Windows Live Messenger

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: **********server.com.ua
Porta: 31666

 Terminar o processo So terminados os processos com um dos seguintes textos:
   • bitdef
   • ccsvchst
   • kaspersky
   • mcafee
   • symantec
   • trendmicro
   • f-prot
   • drweb
   • clam
   • avast


 Backdoor Contacta o servidor:
Seguintes:
   • **********.4.45.64:21
   • **********.227.214.95:21
   • **********220.215.107:21
   • **********e12.hostingmadeeasy.com:21
   • **********.compuvisionenlinea.com:21
   • **********t307.hostmonster.com:21
   • **********lunariffic.com:21
   • **********img.in:80

Como resultado pode enviar informao poderiam e dar capacidade de controlo remoto.

Envia informao sobre:
     o URL visitado
     Informao sobre o sistema operativo Windows


Capacidades de controlo remoto:
     Executa o ficheiro
     Visita um Web site

 Roubos de informao Tenta roubar a seguinte informao:
 Palavras-chave digitadas em 'campos de entrada de palavras-chave'

Usa um sniffer de rede para pesquisar os seguintes textos:
   • ibanking-services
   • ibank
   • huntington
   • wellsfargo
   • citigroup
   • bankofamerica
   • 53.com
   • usbank.com

iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • 53.com
   • banking
   • bankofamerica
   • citigroup
   • huntington
   • ibank
   • ibanking-services
   • money
   • netbank
   • pin
   • suntrust
   • usbank.com
   • wachovia.com
   • wellsfargo

 Captura:
     Informao de login

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Todos os processos que se seguem:
   • explorer.exe
   • iexplore.exe



Propsito:
O acesso aos seguintes sites bloqueado:
   • *avast*; *ca.com*; *omodo*; *cpsecure*; *esafe*; *etrust*; *f-prot*;
      *fortinet*; *hauri*; *ikarus*; *jotti*; *k7computing*; *norton*;
      *pctools*; *sunbelt*; *wilderssecurity*; *threatexpert*; *pamhaus*;
      *securecomputing*; *rising*; *quickheal*; *prevx*; *norman*;
      *networkassociates*; *hacksoft*; *grisoft*; *gdata*; *f-secure*;
      *ewido*; *emsisoft*; *computerassociates*; *centralcommand*;
      *castlecops*; *arcabit*; *ahnlab*; *agnitum*


 Informaes diversas Recursos de acesso Internet:
   • http://www.ip-adress.com/what_is_my_ip/
   • http://www.ipaddressworld.com/
   • search.msn.com


Dissimula ser um ficheiro de confiana:
O seu processo dissimula ser os seguintes processos de confiana: explorer.exe
O malware dissimula tambm o cone. Como resultado, parece ser o processo mencionado anteriormente.

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Ilie em quarta-feira, 7 de setembro de 2011
Descrição atualizada por Andrei Ilie em quarta-feira, 7 de setembro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.