TSPY_ZBOT.BHJ
VirTool:Win32/VBInject (Microsoft), Trojan.Zbot (Symantec), RDN/Generic.dx!xs (McAfee), Troj/Agent-AAUK (Sophos), W32/Dorkbot.BAA!tr (Fortinet), Virus.Win32.VBInject (Ikarus), Win32/Injector.AEBV trojan (ESET),
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Spyware
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Umgeht die Windows Firewall. Dadurch kann diese Malware ihre geplante Routine ausführen, ohne von einer installierten Firewall entdeckt zu werden.
Ändert Zoneneinstellungen von Internet Explorer.
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Application Data%\{random1}\{random}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Schleust folgende Komponentendateien ein:
- %Application Data%\{random}\{random}.{random extension}
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %Application Data%\{random}
- %Application Data%\{random1}
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = "%Application Data%\{random1}\{random}.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
{random}
{random} = "{hex values}"
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
{random}
Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.