TSPY_ZBOT.KHS
PWS:Win32/Zbot (Microsoft), Trojan-Spy.Win32.Zbot.ektc (Kaspersky), Trojan.Gen (Symantec), Generic PWS.y!1hz (NAI), Mal/NecursDrp-A (Sophos), Trojan.Win32.Generic!BT (Sunbelt), TR/Crypt.ZPACK.Gen8 (Antivir), Gen:Variant.Kazy.84423 (Bitdefender), W32/Zbot.EKTC!tr (Fortinet), Trojan-Spy.Win32.Zbot (Ikarus), Win32/Spy.Zbot.AAO trojan (NOD32), TrojanSpy.Zbot.ektc (VBA32)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Spyware
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Erstellt Ordner und legt dort Dateien von sich ab.
Ändert Zoneneinstellungen von Internet Explorer.
Technische Details
Installation
Schleust folgende Komponentendateien ein:
- %User Profile%\Application Data\{random folder 1}\{random filename}.exe - detected as TSPY_ZBOT.KHS
- %User Profile%\Application Data\{random folder 2}\{random filename and extension}
- %User Profile%\Application Data\{random folder 3}\{random filename and extension}
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Erstellt Ordner und legt dort Dateien von sich ab.
Erstellt die folgenden Ordner:
- %User Profile%\Application Data\{random folder 1}
- %User Profile%\Application Data\{random folder 2}
- %User Profile%\Application Data\{random folder 3}
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = %User Profile%\Application Data\{random folder 1}\{random filename}.exe
Andere Systemänderungen
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\explorer.exe = %WINDOWS%\explorer.exe:*:Enabled:Windows Explorer
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.