Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Zbot.836
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:43.008 字节
MD5 校检和:202a068e9e52853d7ed7887ec7dfbe52
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 感染文件


别名:
   •  Mcafee: W32/Ramnit
   •  Kaspersky: Backdoor.Win32.IRCNite.aqg
   •  Sophos: Mal/FakeAV-BW
   •  Bitdefender: Trojan.Zbot.836
   •  GData: Trojan.Zbot.836


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 植入恶意文件
   • 感染文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe
   • %驱动器%\RECYCLER\autorun.exe



创建以下文件:

%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

– %PROGRAM FILES%\Internet Explorer\dmlconf.dat



它会尝试执行以下文件:

– 文件名:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe


– 文件名:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

 注册表 会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新值:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\desktoplayer.exe"

 文件感染 感染器类型:

附加器 - 病毒的主要代码添加在受感染文件的尾端。
– 在受感染的文件中添加了以下部分(Section):
   • .rmnet


隐蔽病毒:
未使用隐蔽技术。 它修改受感染文件的 OEP (原始入口 Original Entry Point),使其指向病毒代码。


方法:

此直接操作感染器会主动搜索文件。


以下文件已被感染:

按文件类型:
   • exe (+44544) -> W32/Ramnit.A
   • dll (+44544) -> W32/Ramnit.A
   • html (+86498) -> HTML/Drop.Agent.AB

 后门程序 访问服务器:
以下内容:
   • jef**********.com:442 (TCP)


 注入进程 – 它会将其本身作为远程线程注入到进程中。

    进程名:
   • iexplore.exe


 其他  通过访问以下网站来检查 Internet 连接:
   • google.com:80
   • bing.com:80
   • yahoo.com:80


Mutex:
它会创建以下 Mutex:
   • KyUffThOkYwRRtgPP

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Açıklamayı yerleştiren Petre Galan tarihinde 8 Nisan 2011 Cuma
Açıklamayı güncelleyen: Petre Galan tarihinde 8 Nisan 2011 Cuma

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.