Имя:TR/Spy.ZBot.fql.6
Обнаружен:27/11/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:908.288 байт.
Контрольная сумма MD5:7a2efb63c47daa1b554f04effc6d6bac
Версия IVDF:7.01.00.146 - четверг, 27 ноября 2008 г.

 Общее Псевдонимы (аliases):
   •  Symantec: Packed.Generic.196
   •  Mcafee: PWS-Zbot.gen.c trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.fql
   •  F-Secure: W32/Trojan3.EP
   •  Panda: Trj/Sinowal.VVF
   •  Eset: Win32/Spy.Agent.PZ trojan
   •  Bitdefender: Trojan.Spy.Zeus.1.Gen


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Загружает файл
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

 Файлы  Создается копия вредоносной программы. К файлу добавляются случайные байты. Это делает его отличным от оригинала:
   • %SYSDIR%\twext.exe



Создается файл:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\twain_32\local.ds
   • %SYSDIR%\twain_32\user.ds




Попытка загрузки следующего файла:

– Следующий URL:
   • http://popokimoki.com/los/**********
На момент проверки данный файл не был доступен.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\twext.exe,"



Изменяется следующий ключ реестра:

Отключение Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Новое значение:
   • "EnableFirewall"=dword:0x0

 Технология Rootkit Скрывает следующее:
– Собственный файл


Используемый метод:
    • Невидимый из Windows API
    • Перехват Import Address Table (IAT)

Внедряется в следующие API-функции:
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> NtCreateThread
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) понедельник, 12 октября 2009 г.
Описание обновил Andrei Ivanes в(о) среда, 14 октября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.