TR/Spy.ZBot.dnv - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/Spy.ZBot.dnv
Descoperit pe data de:	31/07/2008
Tip:	Troian
Subtip:	Spy
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	60.416 Bytes
MD5:	fa9e2f54724b0af452a91c8dd72814eb
Versiune IVDF:	7.00.05.195

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Symantec: Trojan.Wsnpoem
   • Mcafee: Spy-Agent.bw trojan
   • Kaspersky: Trojan-Spy.Win32.Zbot.dnv
   • TrendMicro: TSPY_ZBOT.OJ
   • F-Secure: Trojan-Spy.Win32.Zbot.dnv
   • Sophos: Troj/Zbot-AE
   • Grisoft: Pakes_c_SE
   • Eset: Win32/Spy.Agent.PZ trojan
   • Bitdefender: Trojan.Agent.AJKG

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca un fisier malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe

Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll

Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://66.199.242.115/**********.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\feed.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Agent.VUF

Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Vechea valoare:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Noua valoare:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

Backdoor Deschide portul

– svchost.exe port TCP aleator

Servere contactate:

• http://ahleinaks.ru/**********millioner.bin

Astfel se pot transmite informatii si se poate obtine control la distanta.

Injectarea codului malware in alte procese – Injecteaza fisierul urmator intr-un proces: %SYSDIR%\ntos.exe

Numele procesului:
• winlogon.exe

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Pentru o descriere scurta click aici.

Descriere introdusa de Andreas Feuerstein la Thu, 31 Jul 2008 14:26 (GMT+1)
Descriere actualizata de Andreas Feuerstein la Thu, 31 Jul 2008 14:44 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back