Bezpečné PC: PWS:Win32/Zbot

pondělí 21. května 2012

PWS:Win32/Zbot

Encyklopedický vstup
Aktualizováno: 05.10.2011 | Zveřejněno: Jan 28, 2010 Aliasy

W32/Zbot.OAJ

Norman

Trojan.Fraudload.Gen!Pac.5 (VirusBuster)
Pakes.ELY (AVG)
Trojan.CryptRedol.Gen.5 (BitDefender)
Trojan.PWS.Panda.218 (Dr.Web)
Win32/Spy.Zbot.WM (ESET)
Trojan.Win32.Bredolab (Ikarus)
Generic PWS.y!brn (McAfee)
Trj/Downloader.MDW (Panda)
Mal/BredoPk-B (Sophos)
Trojan.Win32.Bredolab.Gen.2 (Sunbelt Software)
Trojan.Zbot (Symantec)
TROJ_SCAR.HE (Trend Micro)
Zeus banking trojan (other)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace:
Definice: 1.127.250.0
Vydáno: 18.května 2012

Detekce původně vytvořeny:
Definice: 1.45.287.0
Datum vydání: Říjen 07, 2008

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

Shrnutí

PWS:Win32/Zbotje heslo pro krádež trojan, který monitoruje návštěv na určité internetové stránky. Umožňuje omezený backdoor přístup a kontrolu a může ukončit některé procesy související se zabezpečením.

Top

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

Přítomnost těchto souborů:
<system folder> \ ntos.exe
<system folder> \ sdra64.exe
<system folder> \ twex.exe
<system folder> \ wsnpoem \ audio.dll
<system folder> \ wsnpoem \ video. dll
<system folder> \ \ twain_32 user.ds
Následující program ukončit žádného zřejmého důvodu: Outpost Firewall Zone Alarm Firewall

Top

Technické informace (analýza)

Instalace

Po spuštění PWS:Win32/Zbot kapky kopii sebe sama jako kterákoli z následujících souborů:

<system folder> \ ntos.exe
<system folder> \ sdra64.exe
<system folder> \ twex.exe

Poznámka - <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.

To také klesá následující soubory, které obsahují šifrovaná data používaná Trojan ve složce "<system folder> \ wsnpoem \ ":

audio.dll
video.dll

To také vytvoří následující zašifrovaný soubor protokolu, ve kterém se pravděpodobně zapíše všechny ukradené údaje:

<system folder> \ \ twain_32 user.ds

PWS:Win32/Zbot upraví registr tak, aby zajistila, že její kopie je vykonán při každém startu Windows:

Přidanou hodnotu: " userinit "
Vzhledem k objemu dat: "<system folder> \ Userinit.exe , <systemfolder> \ <malware <soubor_obsahující_index> "
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

kde <malware soubor> je některý z výše uvedených názvů souborů.

To také vkládá svůj kód v následujících procesech:

explorer.exe
lsass.exe
svchost.exe
winlogon.exe

PWS:Win32/Zbot také skrývá své procesy a položky registru se vyhnout detekci.

Užitečná

Ukradne citlivá data

PWS:Win32/Zbot krade se přihlásit pověření, kdykoli uživatel přejde na některé webové stránky, jako jsou následující:

https://onlineeast # .bankofamerica.com / cgi-bin / IAS / * / GotoWelcome
https://www.e-gold.com/sci_asp/payments.asp

Také kontroluje, zda je počítač otevře " WebMoney Keeper Classic "program.

Může se také pokusit ukrást tyto citlivé údaje z počítače:

Certifikáty
Mezipaměti hesla
Sušenky

Umožňuje backdoor přístup a kontrolu

PWS:Win32/Zbot si mohou stáhnout konfigurační soubor z internetu, který je schopen dělat následující:

Přejmenování bot
Získání certifikátů
Blok adresy URL
adresy URL Odblokování
Odstranit soubory
ke stažení soubory

Ukončí bezpečnostních procesů

PWS:Win32/ZbotKontroly těchto procesů týkajících se bezpečnosti a končí se jich, jestli Nalezeno: outpost.exe (spustitelný pro Outpost Firewall ) zlclient.exe(spustitelný pro firewall Zone Alarm )

Bezpečné PC