RSS-каналы
Уровень опасности: 1
Trojan.Win32.ZbotPatched.a
| Время детектирования | 22 апр 2010 14:40 MSK |
| Время выпуска обновления | 22 апр 2010 20:17 MSK |
Резюме
Технические детали
Имеет размер 200704 байт.
Инсталляция
После запуска создает свои копии под следующими именами:
- Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\regedit.exe
Создает следующие файлы на зараженном компьютере:
- Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\tmp1.tmp
Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:
путем прописывания в ключах автозапуска системного реестра:
[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "Calc32" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\regedit.exe"
Вредоносная активность
Внедряет свой код в следующие процессы:
- svchost.exe
Создает соединение со следующими адресами в Интернете:
- ***.149.98.166:6400
- ***.146.33.7:6400
- ***.214.216.6:6400
- ***.214.192.192:6400
- ***.112.42.7:6400
- ***.112.42.217:6400
- ***.112.42.216:6400
- ***.120.147.85:6400
- ***.161.193.131:6400
- ***.221.159.154:6400
- ***.157.0.1:6400
- ***.190.85.36:6400
- ***.192.116.26:6400
Обращается к следующим адресам в Интернете:
- http://***.104.27.110/wtf/addon.rar
Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"
- Win32StopOffMutant
- WinHeapTrashDriver3264
Прочие действия
Производит запуск следующих файлов (команд):
- Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\cmd.exe /c del <путь к исходной программе><файл исходной программы> >> NUL
Удаляет следующие файлы на зараженном компьютере:
- <путь к исходной программе><файл исходной программы>
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.
К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
Trojan.
- Virus:
W32/Zbot (McAfee) - Troj/Zbot-NY (Sophos)
- Trojan.
Zbot-12026 (ClamAV) - W32/Patched.
L (Panda) - W32/Zbot.
T. gen!Eldorado (FPROT) - Virus:
Win32/Zbot. A (MS(OneCare)) - Trojan.
Starter. 1215 (DrWeb) - Win32/TrojanDownloader.
Small. OUC trojan (Nod32) - Trojan.
Patched. FI (BitDef7) - Win32.
ZBot. RSI (VirusBuster) - Win32:
Zbot-MPD (AVAST) - Virus.
Win32. Zbot (Ikarus) - Win32/Dlder.
D (AVG) - BackDoor.
Graybird (NAV) - W32/Downloader.
AWLZ (Norman) - Trojan.
Win32. ZbotPatched. a [AVP] (FSecure) - PE_ZBOT.
A (TrendMicro) - Virus.
Win32. Zbot. a (v) (Sunbelt) - Win32.
ZBot. RSI (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей