TSPY_ZBOT.IA
Trojan.Gen (Symantec); VirTool:Win32/Obfuscator.QG (Microsoft); Trojan-Spy.Win32.Zbot.bwhf (Kaspersky); Mal/Zbot-DE (Sophos)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Spyware
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Technische Details
Übertragungsdetails
Wird möglicherweise von den folgenden externen Sites heruntergeladen:
- http://{BLOCKED}arkscar.com/arg/arg.exe
Installation
Schleust die folgenden Dateien ein:
- %Application Data%\{random1}\{random}.exe
- %Application Data%\{random2}\{random}.{random}
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %Application Data%\{random1}
- %Application Data%\{random2}
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
{random}
Entwendete Daten
Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:
- http://{BLOCKED}illaoff.com/art/dfiup.php