Analisado por: Karl Dominguez   
 Threat sub-type::

Information Stealer

 Plataforma:

Symbian OS

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Spyware

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Wird möglicherweise von anderer Malware eingeschleust.

  Detalhes técnicos

Tipo de compactação: 74,632 bytes
Tipo de arquivo: PE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 27 setembro 2010
Carga útil: Steals information, Compromises system security

Übertragungsdetails

Wird möglicherweise von der folgenden Malware eingeschleust:

  • SYMBOS_ZEUSMIT.A

Installation

Erstellt die folgenden Ordner:

  • C:\private\20022B8Ea

Einschleusungsroutine

Schleust die folgenden Dateien ein, in denen sie ihre gesammelten Daten speichert:

  • C:\private\20022B8E\NumbersDB.db
  • C:\private\20022B8E\settings2.dat
  • C:\private\20022B8E\firststart.dat

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

  • It monitors the Short Message System (SMS) messages of an affected Symbian phone and forwards the message if the sender is listed in its monitored list.
  • It interprets the following messages as its backdoor commands:
    • Server ON
    • Server OFF
    • BLOCK ON
    • BLOCK OFF
    • SET ADMIN
    • ADD SENDER
    • ADD SENDER ALL
    • REM SENDER
    • REM SENDER ALL
    • SET SENDER
  • It sends and receives information from the following phone number:
    • +{BLOCKED}1481725
  • It sends any of the following messages to the said number to notify the remote malicious user of the malware's current status:
    • state is On
    • state is Off
    • monitoring all
    • blocking is on
    • blocking is off
    • App installed ok
  • The file C:\private\20022B8E\NumberDB.dat contains the following information:
    • tbl_contact
    • index
    • name
    • descr
    • pb_cont
    • act_id
    • tbl_phone_number
    • contact_id
    • phone_number
    • tbl_history
    • event_id
    • pn_id
    • date
    • description
    • contact_info
    • contact_id

  Solução

Mecanismo de varredura mínima: 8.900

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von SYMBOS_ZBOT.A

    • SYMBOS_ZEUSMIT.A

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als SYMBOS_ZBOT.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 4

Diesen Ordner suchen und löschen

[ Saber mais ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • C:\private\20022B8Ea

Step 5

TREND MICRO MOBILE SECURITY LÖSUNG

Die integrierte Lösung von Trend Micro für mobile Geräte bietet automatische Virensuche in Echtzeit zum Schutz von Wireless-Geräten vor Internet- oder Datei-basiertem bösartigem Code oder Viren.

Laden Sie die neueste Trend Micro Sicherheitslösung von dieser Website herunter.


Participe da nossa pesquisa!