Analysé par: Jasen Sumalapao   
 

PWS:Win32/Zbot (Microsoft), Generic BackDoor.adp (NAI), Mal/NecursDrp-A (Sophos), Trojan.Injector.AHF (FSecure), Trojan.Injector.AHF (Bitdefender), W32/Zbot.AAO!tr.spy (Fortinet), Win32/Spy.Zbot.AAO trojan (NOD32)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 reportedInfection:
 System Impact Rating: :
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Spyware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Erstellt Ordner und legt dort Dateien von sich ab.

Ändert Zoneneinstellungen von Internet Explorer.

Löscht sich nach der Ausführung selbst.

  Détails techniques

File size: 290,816 bytes
File type: EXE
Date de réception des premiers échantillons: 28 août 2012

Installation

Schleust folgende Komponentendateien ein:

  • %User Profile%\Application Data\{random folder 1}\{random filename}.exe - detected as TSPY_ZBOT.NKS
  • %User Profile%\Application Data\{random folder 2}\{random filename and extension}
  • %User Profile%\Application Data\{random folder 3}\{random filename and extension}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt Ordner und legt dort Dateien von sich ab.

Erstellt die folgenden Ordner:

  • %User Profile%\Application Data\{random folder 1}
  • %User Profile%\Application Data\{random folder 2}
  • %User Profile%\Application Data\{random folder 3}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

  • Local\{97D16FEF-F788-89F2-E17F-82BA9A4C24CF}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%User Profile%\Application Data\{random folder 1}\{random file name}.exe"

Andere Systemänderungen

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Andere Details

Löscht sich nach der Ausführung selbst.