Encyklopedický vstup
Aktualizováno: 05.10.2011 | Zveřejněno: Jan 28, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 05.10.2011 | Zveřejněno: Jan 28, 2010 Aliasy
-
W32/Zbot.OAJ (Norman)
- Trojan.Fraudload.Gen!Pac.5 (VirusBuster)
- Pakes.ELY (AVG)
- Trojan.CryptRedol.Gen.5 (BitDefender)
- Trojan.PWS.Panda.218 (Dr.Web)
- Win32/Spy.Zbot.WM (ESET)
- Trojan.Win32.Bredolab (Ikarus)
- Generic PWS.y!brn (McAfee)
- Trj/Downloader.MDW (Panda)
- Mal/BredoPk-B (Sophos)
- Trojan.Win32.Bredolab.Gen.2 (Sunbelt Software)
- Trojan.Zbot (Symantec)
- TROJ_SCAR.HE (Trend Micro)
- Zeus banking trojan (other)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012 | Detekce původně vytvořeny: Definice: 1.45.287.0 Datum vydání: Říjen 07, 2008 |
Shrnutí
PWS:Win32/Zbotje heslo pro krádež trojan, který monitoruje návštěv na určité internetové stránky. Umožňuje omezený backdoor přístup a kontrolu a může ukončit některé procesy související se zabezpečením.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
<system folder> \ ntos.exe
<system folder> \ sdra64.exe
<system folder> \ twex.exe
<system folder> \ wsnpoem \ audio.dll
<system folder> \ wsnpoem \ video. dll
<system folder> \ \ twain_32 user.ds - Následující program ukončit žádného zřejmého důvodu: Outpost Firewall Zone Alarm Firewall
Technické informace (analýza)
Instalace
Po spuštění PWS:Win32/Zbot kapky kopii sebe sama jako kterákoli z následujících souborů:
- <system folder> \ ntos.exe
- <system folder> \ sdra64.exe
- <system folder> \ twex.exe
Poznámka - <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
To také klesá následující soubory, které obsahují šifrovaná data používaná Trojan ve složce "<system folder> \ wsnpoem \ ":
- audio.dll
- video.dll
To také vytvoří následující zašifrovaný soubor protokolu, ve kterém se pravděpodobně zapíše všechny ukradené údaje:
<system folder> \ \ twain_32 user.ds
PWS:Win32/Zbot upraví registr tak, aby zajistila, že její kopie je vykonán při každém startu Windows:
PWS:Win32/Zbot upraví registr tak, aby zajistila, že její kopie je vykonán při každém startu Windows:
Přidanou hodnotu: " userinit "
Vzhledem k objemu dat: "<system folder> \ Userinit.exe , <systemfolder> \ <malware <soubor_obsahující_index> "
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Vzhledem k objemu dat: "<system folder> \ Userinit.exe , <systemfolder> \ <malware <soubor_obsahující_index> "
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
kde <malware soubor> je některý z výše uvedených názvů souborů.
To také vkládá svůj kód v následujících procesech:
- explorer.exe
- lsass.exe
- svchost.exe
- winlogon.exe
PWS:Win32/Zbot také skrývá své procesy a položky registru se vyhnout detekci.
Užitečná
Ukradne citlivá data
PWS:Win32/Zbot krade se přihlásit pověření, kdykoli uživatel přejde na některé webové stránky, jako jsou následující:
- https://onlineeast # .bankofamerica.com / cgi-bin / IAS / * / GotoWelcome
- https://www.e-gold.com/sci_asp/payments.asp
Také kontroluje, zda je počítač otevře " WebMoney Keeper Classic "program.
Může se také pokusit ukrást tyto citlivé údaje z počítače:
- Certifikáty
- Mezipaměti hesla
- Sušenky
Umožňuje backdoor přístup a kontrolu
PWS:Win32/Zbot si mohou stáhnout konfigurační soubor z internetu, který je schopen dělat následující:
Přejmenování bot
Získání certifikátů
Blok adresy URL
adresy URL Odblokování
Odstranit soubory
ke stažení soubory
Získání certifikátů
Blok adresy URL
adresy URL Odblokování
Odstranit soubory
ke stažení soubory
Ukončí bezpečnostních procesů
PWS:Win32/ZbotKontroly těchto procesů týkajících se bezpečnosti a končí se jich, jestli Nalezeno: outpost.exe (spustitelný pro Outpost Firewall ) zlclient.exe(spustitelný pro firewall Zone Alarm )
Žádné komentáře:
Okomentovat