Analisado por: Jasen Sumalapao   
 

PWS:Win32/Zbot (Microsoft), Trojan-Spy.Win32.Zbot.edhx (Kaspersky), Trojan.Gen (Symantec), PWS-Zbot.gen.afv (NAI), Mal/Generic-L (Sophos), Trojan.Win32.Generic!BT (Sunbelt), TR/Crypt.XPACK.Gen7 (Antivir), W32/Zbot.FT.gen!Eldorado (Authentium), Gen:Variant.Injector.23 (Bitdefender) , W32/Krypt.AAOD!tr (Fortinet), W32/Zbot.FT.gen!Eldorado (generic, not disinfectable) (Fprot), Trojan-Spy.Win32.Zbot (Ikarus), Win32/Spy.Zbot.AAO trojan (NOD32), TrojanSpy.Zbot.edhx (VBA32)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 infecção relatada:
 Impacto no sistema: :
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Spyware

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Erstellt Ordner und legt dort Dateien von sich ab. Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

Ändert Zoneneinstellungen von Internet Explorer.

  Detalhes técnicos

Tipo de compactação: 153,088 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 14 agosto 2012

Installation

Schleust folgende Komponentendateien ein:

  • %User Profile%\Application Data\{random folder 1}\{random filename}.exe - detected as TSPY_ZBOT.KKF
  • %User Profile%\Application Data\{random folder 2}\{random filename and extension}
  • %User Profile%\Application Data\{random folder 3}\{random filename and extension}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt Ordner und legt dort Dateien von sich ab.

Erstellt die folgenden Ordner:

  • %User Profile%\Application Data\{random folder 1}
  • %User Profile%\Application Data\{random folder 2}
  • %User Profile%\Application Data\{random folder 3}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%User Profile%\Application Data\{random folder 1}\{random file name}.exe"

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.