Имя:TR/Spy.ZBot.R
Обнаружен:26/09/2007
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Нет
Версия IVDF:7.00.00.16 - среда, 26 сентября 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.Zbot.r
   •  F-Secure: Trojan-Spy.Win32.Zbot.r
   •  Sophos: Troj/Zbot-A


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\ntos.exe



Удаляется следующий файл:
   • %cookies%\*.*



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Попытка загрузки следующего файла:

– Следующие URL:
   • http://81.95.145.241/**********/ldr.exe
   • http://66.235.175.5/**********/ldr.exe
Сохраняется локально в: %TEMPDIR%\18.tmp Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • Userinit = %SYSDIR%\userinit.exe,
   Новое значение:
   • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Новое значение:
   • UID = %Имя компьютера%_%Шестнадцатиричное число%

 Backdoor Открываются следующие порты:

– svchost.exe к произвольному TCP порту для обеспечения backdoor функции.
– svchost.exe к произвольному TCP порту чтобы обеспечить наличие прокси-сервера.
– svchost.exe к произвольному TCP порту чтобы обеспечить Socks4 прокси-сервера.


Устанавливает соединение с сервером
Один из следующих:
   • http://81.95.145.241/**********/cfg.bin
   • http://66.235.175.5/**********/cfg.bin

Следующий:
   • http://75.126.64.11/**********/s.php

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • svchost.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) среда, 24 октября 2007 г.
Описание обновил Andrei Gherman в(о) среда, 24 октября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.