Имя:TR/Spy.ZBot.bth
Обнаружен:19/11/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~ 56.320 байт.
Версия IVDF:7.01.00.106 - среда, 19 ноября 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\ntos.exe



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\wnspoem\video.dll
   • %SYSDIR%\wnspoem\audio.dll

 Реестр Изменяется следующий ключ реестра:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Прежнее значение:
   • userinit="%SYSDIR%\userinit.exe,"
   Новое значение:
   • userinit="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

 Backdoor Открывается порт:

– svchost.exe к произвольному TCP порту


Устанавливает соединение с сервером
Следующий:
   • http://aerophotodarkcity-newway.com/**********/cfg.bin

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • winlogon.exe


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) среда, 19 ноября 2008 г.
Описание обновил Thomas Wegele в(о) среда, 19 ноября 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.