TR / Spy.ZBot.R

Nome del virus: TR/Spy.ZBot.R

Scoperto: 26/09/2007

Tipo: Trojan

In circolazione (ITW): No

Numero delle infezioni segnalate: Basso

Potenziale di propagazione: Basso

Potenziale di danni: Medio

File statico: No

Versione IVDF: 7.00.00.16

Generale

Metodo di propagazione:

• Nessuna propria procedura di propagazione

Alias:

• Kaspersky: Trojan-Spy.Win32.Zbot.r

• F-Secure: Trojan-Spy.Win32.Zbot.r

• Sophos: Troj/Zbot-A

Piattaforme / Sistemi operativi:

• Windows 98

• Windows 98 SE

• Windows NT

• Windows ME

• Windows 2000

• Windows XP

• Windows Vista

• Windows 7

• Windows 2003

Effetti secondari:

• Scarica file “maligni”

• Modifica del registro

• Sottrae informazioni

• Accesso e controllo del computer da parte di terzi

File

Si copia alla seguente posizione:

• %SYSDIR%\ntos.exe

Cancella il seguente file:

• %cookies%\*.*

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:

• %SYSDIR%\wsnpoem\audio.dll

• %SYSDIR%\wsnpoem\video.dll

Prova a scaricare un file:

– Le posizioni sono le seguenti:

• http://81.95.145.241/**********/ldr.exe

• http://66.235.175.5/**********/ldr.exe

Viene salvato in locale sotto: %TEMPDIR%\18.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

Registro

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Valore precedente:

• Userinit = %SYSDIR%\userinit.exe,

Nuovo valore:

• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]

Nuovo valore:

• UID = %nome del computer%_%numero esadecimale%

Backdoor

Le seguenti porte sono aperte:

– svchost.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.

– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy.

– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.

Contatta il server:

Uno dei seguenti:

• http://81.95.145.241/**********/cfg.bin

• http://66.235.175.5/**********/cfg.bin

Il seguente:

• http://75.126.64.11/**********/s.php

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Come il virus si inserisce nei processi

– Si inserisce in un processo.

Nome del processo:

• svchost.exe

Dettagli del file

Software di compressione:

Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Fonte: Avira