Полное описание

Имя:	TR/Spy.Zbot.nm
Обнаружен:	24/01/2008
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Нет
Размер файла:	44.000 байт.
Версия IVDF:	7.00.02.39 - четверг, 24 января 2008 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan-Spy.Win32.Zbot.nm
   • F-Secure: Trojan-Spy.Win32.Zbot.nm
   • Panda: Trj/Sinowal.ABH
   • Eset: Win32/Spy.Agent.PZ trojan

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
   • %SYSDIR%\ntos.exe

Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll

Реестр Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "userinit" = "%SYSDIR%\userinit.exe,"
   Новое значение:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

Backdoor Открываются следующие порты:

– svchost.exe к произвольному TCP порту для обеспечения backdoor функции.
– svchost.exe к произвольному TCP порту чтобы обеспечить наличие прокси-сервера.
– svchost.exe к произвольному TCP порту чтобы обеспечить Socks4 прокси-сервера.

Устанавливает соединение с сервером
Следующий:
• http://77.221.133.188/**********/cfg.bin

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Инфицирование – Объект внедряется в процесс.

Имя процесса:
• svchost.exe

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) вторник, 4 марта 2008 г.
Описание обновил Thomas Wegele в(о) вторник, 4 марта 2008 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты