Analyse von: Jasen Sumalapao   
 

PWS:Win32/Zbot (Microsoft), Trojan-Spy.Win32.Zbot.edhx (Kaspersky), Trojan.Gen (Symantec), PWS-Zbot.gen.afv (NAI), Mal/Generic-L (Sophos), Trojan.Win32.Generic!BT (Sunbelt), TR/Crypt.XPACK.Gen7 (Antivir), W32/Zbot.FT.gen!Eldorado (Authentium), Gen:Variant.Injector.23 (Bitdefender) , W32/Krypt.AAOD!tr (Fortinet), W32/Zbot.FT.gen!Eldorado (generic, not disinfectable) (Fprot), Trojan-Spy.Win32.Zbot (Ikarus), Win32/Spy.Zbot.AAO trojan (NOD32), TrojanSpy.Zbot.edhx (VBA32)

 Plattform:

Windows 2000, Windows XP, Windows Server 2003

 Risikobewertung (gesamt):
 reportedInfection:
 Beeinträchtigung der Systemleistung ::
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Spyware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Erstellt Ordner und legt dort Dateien von sich ab. Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

Ändert Zoneneinstellungen von Internet Explorer.

  Technische Details

Dateigröße: 153,088 bytes
Dateityp: EXE
Erste Muster erhalten am: 14 August 2012

Installation

Schleust folgende Komponentendateien ein:

  • %User Profile%\Application Data\{random folder 1}\{random filename}.exe - detected as TSPY_ZBOT.KKF
  • %User Profile%\Application Data\{random folder 2}\{random filename and extension}
  • %User Profile%\Application Data\{random folder 3}\{random filename and extension}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt Ordner und legt dort Dateien von sich ab.

Erstellt die folgenden Ordner:

  • %User Profile%\Application Data\{random folder 1}
  • %User Profile%\Application Data\{random folder 2}
  • %User Profile%\Application Data\{random folder 3}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%User Profile%\Application Data\{random folder 1}\{random file name}.exe"

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.