mercoledì 11 agosto 2010

TR / Spy.ZBot.R







Nome del virus: TR/Spy.ZBot.R
Scoperto: 26/09/2007
Tipo: Trojan
In circolazione (ITW): No
Numero delle infezioni segnalate: Basso
Potenziale di propagazione: Basso
Potenziale di danni: Medio
File statico: No
Versione IVDF: 7.00.00.16

Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione

Alias:
• Kaspersky: Trojan-Spy.Win32.Zbot.r
• F-Secure: Trojan-Spy.Win32.Zbot.r
• Sophos: Troj/Zbot-A

Piattaforme / Sistemi operativi:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows Vista
• Windows 7
• Windows 2003

Effetti secondari:
• Scarica file “maligni”
• Modifica del registro
• Sottrae informazioni
• Accesso e controllo del computer da parte di terzi

File
Si copia alla seguente posizione:
• %SYSDIR%\ntos.exe

Cancella il seguente file:
• %cookies%\*.*

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Prova a scaricare un file:

– Le posizioni sono le seguenti:
• http://81.95.145.241/**********/ldr.exe
• http://66.235.175.5/**********/ldr.exe
Viene salvato in locale sotto: %TEMPDIR%\18.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
Registro
Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valore precedente:
• Userinit = %SYSDIR%\userinit.exe,
Nuovo valore:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Nuovo valore:
• UID = %nome del computer%_%numero esadecimale%

Backdoor
Le seguenti porte sono aperte:

– svchost.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.
– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy.
– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.

Contatta il server:
Uno dei seguenti:
• http://81.95.145.241/**********/cfg.bin
• http://66.235.175.5/**********/cfg.bin

Il seguente:
• http://75.126.64.11/**********/s.php

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.
Come il virus si inserisce nei processi
– Si inserisce in un processo.

Nome del processo:
• svchost.exe

Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Fonte: Avira

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...