Shrnutí
Backdoor:Win32/Zegost.Z je trojan, který komunikuje se serverem velení a řízení, aby neoprávněný přístup a kontrolu nad vaším počítačem.
Příznaky
Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.
Technické informace (analýza)
Backdoor:Win32/Zegost.Z je trojan, který komunikuje se serverem velení a řízení, aby neoprávněný přístup a kontrolu nad vaším počítačem.
Instalace
Pokud tento trojan je spuštěn, to klesne kopii Dedipros do Windows systémová složka, jako v následujícím příkladu:
- C:\Windows\System32\nwcworkstationex.dll
Během instalace Trojan, data registru je upraven tak, aby spuštění malware při spuštění Windows.
V podklíč: HKLM\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Parameters
Nastaví hodnotu: "ServiceDll"
Chcete-li data: "<system folder>\nwcworkstationex.dll"
Nastaví hodnotu: "ServiceDll"
Chcete-li data: "<system folder>\nwcworkstationex.dll"
V podklíč: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
Nastaví hodnotu: "netsvcs"
Chcete-li data: " <Předchozí data> <malware služby name> "
Nastaví hodnotu: "netsvcs"
Chcete-li data: " <Předchozí data> <malware služby name> "
Originál trojan se zrušuje, když trojský kůň spuštění služby.
Užitečná
Komunikuje se vzdáleným serverem
Backdoor:Win32/Zegost.Z pokouší se připojit ke vzdálenému serveru, velení a řízení přijímat pokyny, které vykonává další náklad, například následující:
- Zahájit proces
- Vymazání protokolu událostí systému
- Restartujte počítač
- Ukončit vlákno
- Odstranění souboru
- Vložení škodlivého obsahu do běžícího procesu
- Stáhnout a spustit libovolný program vydáním příkazového řádku parametr "Spider update"
Jsme pozorovali tento trojan kontaktovat tyto servery pro tento účel:
- 222.247.50.11:8000
- jesso.3322.org:7102
Žádné komentáře:
Okomentovat