Имя:TR/Spy.ZBot.dnv
Обнаружен:31/07/2008
Вид:Троянская программа
Подвид:Spy
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:60.416 байт.
Контрольная сумма MD5:fa9e2f54724b0af452a91c8dd72814eb
Версия IVDF:7.00.05.195 - четверг, 31 июля 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Trojan.Wsnpoem
   •  Mcafee: Spy-Agent.bw trojan
   •  Kaspersky: Trojan-Spy.Win32.Zbot.dnv
   •  TrendMicro: TSPY_ZBOT.OJ
   •  F-Secure: Trojan-Spy.Win32.Zbot.dnv
   •  Sophos: Troj/Zbot-AE
   •  Grisoft: Pakes_c_SE
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Agent.AJKG


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\ntos.exe



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll




Попытка загрузки следующего файла:

– Следующий URL:
   • http://66.199.242.115/**********.exe
Сохраняется локально в: %TEMPDIR%\feed.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drop.Agent.VUF

 Реестр Изменяется следующий ключ реестра:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Прежнее значение:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Новое значение:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Открывается порт:

– svchost.exe к произвольному TCP порту


Устанавливает соединение с сервером
Следующий:
   • http://ahleinaks.ru/**********millioner.bin

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\ntos.exe

    Имя процесса:
   • winlogon.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andreas Feuerstein в(о) четверг, 31 июля 2008 г.
Описание обновил Andreas Feuerstein в(о) четверг, 31 июля 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.