TSPY_ZBOT.BHJ
VirTool:Win32/VBInject (Microsoft), Trojan.Zbot (Symantec), RDN/Generic.dx!xs (McAfee), Troj/Agent-AAUK (Sophos), W32/Dorkbot.BAA!tr (Fortinet), Virus.Win32.VBInject (Ikarus), Win32/Injector.AEBV trojan (ESET),
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Malware-Typ:
Spyware
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Umgeht die Windows Firewall. Dadurch kann diese Malware ihre geplante Routine ausführen, ohne von einer installierten Firewall entdeckt zu werden.
Ändert Zoneneinstellungen von Internet Explorer.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Application Data%\{random1}\{random}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Schleust folgende Komponentendateien ein:
- %Application Data%\{random}\{random}.{random extension}
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %Application Data%\{random}
- %Application Data%\{random1}
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = "%Application Data%\{random1}\{random}.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
{random}
{random} = "{hex values}"
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
{random}
Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.