Analysé par: Karl Dominguez   
 Threat sub-type::

Information Stealer

 Plate-forme:

Symbian OS

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Spyware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Wird möglicherweise von anderer Malware eingeschleust.

  Détails techniques

File size: 74,632 bytes
File type: PE
Memory resident: Oui
Date de réception des premiers échantillons: 27 septembre 2010
Charge malveillante: Steals information, Compromises system security

Übertragungsdetails

Wird möglicherweise von der folgenden Malware eingeschleust:

  • SYMBOS_ZEUSMIT.A

Installation

Erstellt die folgenden Ordner:

  • C:\private\20022B8Ea

Einschleusungsroutine

Schleust die folgenden Dateien ein, in denen sie ihre gesammelten Daten speichert:

  • C:\private\20022B8E\NumbersDB.db
  • C:\private\20022B8E\settings2.dat
  • C:\private\20022B8E\firststart.dat

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

  • It monitors the Short Message System (SMS) messages of an affected Symbian phone and forwards the message if the sender is listed in its monitored list.
  • It interprets the following messages as its backdoor commands:
    • Server ON
    • Server OFF
    • BLOCK ON
    • BLOCK OFF
    • SET ADMIN
    • ADD SENDER
    • ADD SENDER ALL
    • REM SENDER
    • REM SENDER ALL
    • SET SENDER
  • It sends and receives information from the following phone number:
    • +{BLOCKED}1481725
  • It sends any of the following messages to the said number to notify the remote malicious user of the malware's current status:
    • state is On
    • state is Off
    • monitoring all
    • blocking is on
    • blocking is off
    • App installed ok
  • The file C:\private\20022B8E\NumberDB.dat contains the following information:
    • tbl_contact
    • index
    • name
    • descr
    • pb_cont
    • act_id
    • tbl_phone_number
    • contact_id
    • phone_number
    • tbl_history
    • event_id
    • pn_id
    • date
    • description
    • contact_info
    • contact_id

  Solutions

Moteur de scan minimum: 8.900

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von SYMBOS_ZBOT.A

    • SYMBOS_ZEUSMIT.A

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als SYMBOS_ZBOT.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 4

Diesen Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • C:\private\20022B8Ea

Step 5

TREND MICRO MOBILE SECURITY LÖSUNG

Die integrierte Lösung von Trend Micro für mobile Geräte bietet automatische Virensuche in Echtzeit zum Schutz von Wireless-Geräten vor Internet- oder Datei-basiertem bösartigem Code oder Viren.

Laden Sie die neueste Trend Micro Sicherheitslösung von dieser Website herunter.


Participez à notre enquête!