Полное описание

Имя:	TR/Spy.ZBot.aiun
Обнаружен:	25/04/2010
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	141.312 байт.
Контрольная сумма MD5:	38e516b572117c4932c20e020ed7aae7
Версия IVDF:	7.10.06.198 - воскресенье, 25 апреля 2010 г.

Общее Метод распространения:
   • Функция автозапуска

Псевдонимы (аliases):
   • Bitdefender: Trojan.Generic.KD.8646
   • Panda: Trj/Sinowal.XAO
   • Eset: Win32/Spy.Zbot.YW

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Изменение реестра

Файлы Создаются собственные копии:
   • %SYSDIR%\sdra64.exe
   • %Диск%\%выполненный файл%

Создаются следующие файлы:

– %Диск%\Autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

– %SYSDIR%\lowsec\user.ds
– %SYSDIR%\lowsec\local.ds
– %SYSDIR%\lowsec\user.ds.lll

Попытка загрузки следующего файла:

– Следующий URL:
   • http://zmagazine.ru/798iodas/**********

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

Добавляются следующие ключи реестра:

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%Имя компьютера%_7875768FCFF3ECE1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%Имя компьютера%_7875768FCFF3ECE1"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%Имя компьютера%_7875768FCFF3ECE1"

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   • "ParseAutoexec"="1"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   • "ParseAutoexec"="1"

Backdoor Открывается порт:

– 239.255.25**********.250 по UDP порту 1900 M-SEARCH * HTTP/1.1

Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • winlogon.exe

– Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • svchost.exe

– Вставляется в процесс в качестве удаленного программного потока.

Включено во все процессы.

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 27 августа 2010 г.
Описание обновил Petre Galan в(о) пятница, 27 августа 2010 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты