Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Spy.ZBot.awgq
Обнаружен:16/02/2011
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:184.832 байт.
Контрольная сумма MD5:8142026d807be4faedaec15bc1256fb6
Версия VDF:7.10.08.215
Версия IVDF:7.11.03.121 - среда, 16 февраля 2011 г.

 Общее Псевдонимы (аliases):
   •  Mcafee: PWS-Spyeye
   •  Kaspersky: Trojan-Spy.Win32.Zbot.awgq
   •  Sophos: Mal/FakeAV-BW
   •  Bitdefender: Trojan.Generic.KD.95303
   •  Panda: Trj/SpyEyes.E
   •  GData: Trojan.Generic.KD.95303


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • C:\windowsxxx.exe\windowsxxx.exe



Выполненная копия программы удаляется.



Создается файл:

– C:\windowsxxx.exe\config.bin



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • C:\windowsxxx.exe\windowsxxx.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "windowsxxx.exe"="C:\windowsxxx.exe\windowsxxx.exe"



Удаляются значения следующего ключа реестра:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • AutoConfigURL
   • ProxyOverride
   • ProxyServer



Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "WarnOnIntranet"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   • "ShownServiceDownBalloon"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:0x00000000



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Новое значение:
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   Новое значение:
   • "EnabledV8"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Новое значение:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Новое значение:
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4]
   Новое значение:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1]
   Новое значение:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2]
   Новое значение:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3]
   Новое значение:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Новое значение:
   • "EnableHttp1_1"=dword:0x00000001
   • "MigrateProxy"=dword:0x00000001
   • "ProxyEnable"=dword:0x00000000
   • "ProxyHttp1.1"=dword:0x00000001
   • "WarnOnPost"=hex:00,00,00,00
   • "WarnOnPostRedirect"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Новое значение:
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Новое значение:
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • 94.228.22**********.67:9933 (TCP)
   • http://my-trust.net:81/var/**********?guid=%строка символа%&ver=%Число%&stat=%строка символа%&ie=%строка символа%&os=%строка символа%&ut=%строка символа%&cpu=%Число%&ccrc=%строка символа%&md5=%строка символа%



Передает информацию о:
    • Имя компьютера
    • Тип процессора
    • Текущий пользователь
    • Текущий malware статус.
    • Имя пользователя
    • Информация об операционной системе Windows

 Кража Попытка кражи следующей информации:

– Пароли следующих программ:
   • Mozilla Firefox
   • Internet Explorer

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • explorer.exe



– Вставляется в процесс в качестве удаленного программного потока.

Включено во все процессы.


 Разное  Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://www.microsoft.com


Мьютекс:
Создаются мьютексы:
   • __window__
   • __SPYNET_REPALREADYSENDED__

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 12 апреля 2011 г.
Описание обновил Petre Galan в(о) четверг, 14 апреля 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.