TSPY_ZBOT.NKS
PWS:Win32/Zbot (Microsoft), Generic BackDoor.adp (NAI), Mal/NecursDrp-A (Sophos), Trojan.Injector.AHF (FSecure), Trojan.Injector.AHF (Bitdefender), W32/Zbot.AAO!tr.spy (Fortinet), Win32/Spy.Zbot.AAO trojan (NOD32)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Spyware
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Erstellt Ordner und legt dort Dateien von sich ab.
Ändert Zoneneinstellungen von Internet Explorer.
Löscht sich nach der Ausführung selbst.
Technische Details
Installation
Schleust folgende Komponentendateien ein:
- %User Profile%\Application Data\{random folder 1}\{random filename}.exe - detected as TSPY_ZBOT.NKS
- %User Profile%\Application Data\{random folder 2}\{random filename and extension}
- %User Profile%\Application Data\{random folder 3}\{random filename and extension}
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Erstellt Ordner und legt dort Dateien von sich ab.
Erstellt die folgenden Ordner:
- %User Profile%\Application Data\{random folder 1}
- %User Profile%\Application Data\{random folder 2}
- %User Profile%\Application Data\{random folder 3}
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:
- Local\{97D16FEF-F788-89F2-E17F-82BA9A4C24CF}
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%User Profile%\Application Data\{random folder 1}\{random file name}.exe"
Andere Systemänderungen
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.
Andere Details
Löscht sich nach der Ausführung selbst.