Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Zbot.836
Обнаружен:22/09/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:43.008 байт.
Контрольная сумма MD5:202a068e9e52853d7ed7887ec7dfbe52
Версия VDF:7.10.05.78
Версия IVDF:7.10.11.254 - среда, 22 сентября 2010 г.

 Общее Методы распространения:
   • Функция автозапуска
   • Инфицирует файлы


Псевдонимы (аliases):
   •  Mcafee: W32/Ramnit
   •  Kaspersky: Backdoor.Win32.IRCNite.aqg
   •  Sophos: Mal/FakeAV-BW
   •  Bitdefender: Trojan.Zbot.836
   •  GData: Trojan.Zbot.836


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Инфицирует файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe
   • %Диск%\RECYCLER\autorun.exe



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%PROGRAM FILES%\Internet Explorer\dmlconf.dat



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe


– Имя файла:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

 Реестр Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\desktoplayer.exe"

 Инфицирование файлов Тип инфектора:

Добавление в конец – основной код вируса добавляется в конец инфицированного файла.
– В инфицированный файл добавлен следующий раздел:
   • .rmnet


Техника достижения невидимости:
При этом не используются техники достижения невидимости. Вирус заменяет ИТВ (исходную точку входа) инфицированного файла на точку входа в код вируса.


Метод:

Этот вирус занят активным поиском файлов.


Следующие файлы инфицированы:

По типу файла:
   • exe (+44544) -> W32/Ramnit.A
   • dll (+44544) -> W32/Ramnit.A
   • html (+86498) -> HTML/Drop.Agent.AB

 Backdoor Устанавливает соединение с сервером
Следующий:
   • jef**********.com:442 (TCP)


 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • iexplore.exe


 Разное  Связывается со следующими веб-сайтами для проверки установленного Интернет-соединения:
   • google.com:80
   • bing.com:80
   • yahoo.com:80


Мьютекс:
Создается мьютекс:
   • KyUffThOkYwRRtgPP

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 8 апреля 2011 г.
Описание обновил Petre Galan в(о) пятница, 8 апреля 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.