trojan
  • Win32/Spy.Zbot.AAO

  • 0
Автор
КатегорияТроян
Дата обнаружения21.02.2012
Размер225280
Другие названия
Trojan-Spy.Win32.Zbot.ntpf (Касперский)
PWS-Zbot.gen.vo.trojan (McAfee)
PWS:Win32/Zbot.gen!AJ (Microsoft)
Win32:Zbot-NRC (Avast)

Краткое описание

Данный троян работает как backdoor. Им можно управлять дистанционно

Как устанавливается

При выполнении троян копирует себя в следующие папки:

  • %appdata%\­%variable1%\­%variable2%.exe

Эта копия троянского затем выполняется.

Для того, чтобы быть запущенным при каждом старте системы, троян устанавливает следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable2%" = "%appdata%\­%variable1%\­%variable2%.exe"
  • "%variable2%" = "%appdata%\­%variable1%\­%variable2%.exe"

Троян сохраняет различную информацию в следующем разделе реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­%variable3%]

Строка с переменной используется вместо %variable1-3%

Троян может создать и запустить новый поток с собственным программным кодом в рамках любого запущенного процесса.

Это позволяет избежать процессов, которые содержат любой из следующих строк на своем пути:

После завершения установки троян удаляет исходный исполняемый файл.

Кража информации

Win32/Spy.Zbot.ААО-это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

Троян способен запоминать нажатые клавиши.

Троян собирает конфиденциальные сведения, при просмотре определенных веб-сайтов.

Троян собирает информацию, относящуюся к следующим приложениям:

Собранная информация хранится в следующих файлах:

  • %appdata%\­%variable1%\­%variable2%.%variable3%
  • %appdata%\­%variable4%\­%variable5%.%variable6%

Строка с переменной используется вместо %variable1-6% .

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян генерирует различные URL-адреса. Используется HTTP протокол.

Общение в сети с удаленного компьютера/сервера шифруется. Используется алгоритм шифрования RC4.

Троян открывает случайный порт TCP.

Троян открывает случайный порт UDP.

Поддерживается выполнение следующих операций:

Троян перехватывает следующие функции Windows API:

Троян может устанавливать следующие значения реестра:

  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Internet Explorer\­Main]
    • "Start Page" = "%variable1%"
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Internet Explorer\­PhishingFilter]
    • "Enabled" = 0
    • "EnabledV8" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Internet Explorer\­Privacy]
    • "CleanCookies" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­0]
    • "1406" = 0
    • "1609" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­1]
    • "1406" = 0
    • "1609" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­2]
    • "1406" = 0
    • "1609" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­3]
    • "1406" = 0
    • "1609" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­4]
    • "1406" = 0
    • "1609" = 0
  • "Start Page" = "%variable1%"
  • "Enabled" = 0
  • "EnabledV8" = 0
  • "CleanCookies" = 0
  • "1406" = 0
  • "1609" = 0
  • "1406" = 0
  • "1609" = 0
  • "1406" = 0
  • "1609" = 0
  • "1406" = 0
  • "1609" = 0
  • "1406" = 0
  • "1609" = 0

Троян может внести изменения в ледующий файл:

  • %firefoxprofilefolder%\­user.js

Троян производит следующие записи в файл:

Он содержит следующий текст:

  • Coded by BRIAN KREBS for personal use only. I love my job & wife.

Строка с переменной используется вместо %variable1-2% .

Как удалить

Для удаления указанного вредоносного ПО можно воспользоваться следующими специальными утилитами, предназначенными для удаления именно этого зловреда и его разновидностей:

WIN32/ZBOT remover от AVG

ZbotKiller от Kaspersky

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *