Analysé par: Jasen Sumalapao   
 

PWS:Win32/Zbot (Microsoft), Trojan-Spy.Win32.Zbot.edhx (Kaspersky), Trojan.Gen (Symantec), PWS-Zbot.gen.afv (NAI), Mal/Generic-L (Sophos), Trojan.Win32.Generic!BT (Sunbelt), TR/Crypt.XPACK.Gen7 (Antivir), W32/Zbot.FT.gen!Eldorado (Authentium), Gen:Variant.Injector.23 (Bitdefender) , W32/Krypt.AAOD!tr (Fortinet), W32/Zbot.FT.gen!Eldorado (generic, not disinfectable) (Fprot), Trojan-Spy.Win32.Zbot (Ikarus), Win32/Spy.Zbot.AAO trojan (NOD32), TrojanSpy.Zbot.edhx (VBA32)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 reportedInfection:
 System Impact Rating: :
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Spyware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Erstellt Ordner und legt dort Dateien von sich ab. Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

Ändert Zoneneinstellungen von Internet Explorer.

  Détails techniques

File size: 153,088 bytes
File type: EXE
Date de réception des premiers échantillons: 14 août 2012

Installation

Schleust folgende Komponentendateien ein:

  • %User Profile%\Application Data\{random folder 1}\{random filename}.exe - detected as TSPY_ZBOT.KKF
  • %User Profile%\Application Data\{random folder 2}\{random filename and extension}
  • %User Profile%\Application Data\{random folder 3}\{random filename and extension}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt Ordner und legt dort Dateien von sich ab.

Erstellt die folgenden Ordner:

  • %User Profile%\Application Data\{random folder 1}
  • %User Profile%\Application Data\{random folder 2}
  • %User Profile%\Application Data\{random folder 3}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%User Profile%\Application Data\{random folder 1}\{random file name}.exe"

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.