Имя:TR/Spy.ZBot.9164.1
Обнаружен:15/10/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:91.648 байт.
Контрольная сумма MD5:642ff076c8bc5b3be5b9e853337d1820
Версия IVDF:7.01.06.111 - четверг, 15 октября 2009 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Infostealer.Banker.C
   •  Kaspersky: Trojan-Spy.Win32.Zbot.gen
   •  F-Secure: Trojan-Spy.Win32.Zbot.gen
   •  Sophos: Mal/Zbot-R
   •  Grisoft: Win32/Cryptor


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\sdra64.exe



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\user.ds
   • %SYSDIR%\user.ds.dll
   • %SYSDIR%\local.ds




Попытка загрузки следующего файла:

– Следующий URL:
   • http://195.93.208.106/**********/ip1.gif
На момент проверки данный файл не был доступен.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.


Тема:
Следующее:
   • A new settings file for the %Электронный адрес
      получателя%



Тело:
Тело письма имеет следующий вид:

   • Dear user of the %Домен получателя% mailing service!
     
     We are informing you that because of the security upgrade of the mailing service your mailbox (%Электронный адрес получателя%) settings were changed. In order to apply the new set of settings click on the following link:
     
     http://**********.nerrasssp.co.uk/owa/service_directory/settings.php**********
     
     Best regards, %Домен получателя% Technical Support.
     



Письмо выглядит следующим образом:


 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Скрывает следующее:
– Собственный файл


Используемый метод:
    • Невидимый из Windows API
    • Перехват Import Address Table (IAT)

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) четверг, 15 октября 2009 г.
Описание обновил Thomas Wegele в(о) четверг, 15 октября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.