• Win32/Spy.Zbot.AAO

  • 0
Автор
Категория Троян
Дата обнаружения 21.02.2012
Размер 225280
Другие названия
Trojan-Spy.Win32.Zbot.ntpf (Касперский)
PWS-Zbot.gen.vo.trojan (McAfee)
PWS:Win32/Zbot.gen!AJ (Microsoft)
Win32:Zbot-NRC (Avast)

Краткое описание

Данный троян работает как backdoor. Им можно управлять дистанционно

Как устанавливается

При выполнении троян копирует себя в следующие папки:

  • %appdata%\­%variable1%\­%variable2%.exe

Эта копия троянского затем выполняется.

Для того, чтобы быть запущенным при каждом старте системы, троян устанавливает следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable2%" = "%appdata%\­%variable1%\­%variable2%.exe"
  • "%variable2%" = "%appdata%\­%variable1%\­%variable2%.exe"

Троян сохраняет различную информацию в следующем разделе реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­%variable3%]

Строка с переменной используется вместо %variable1-3%

Троян может создать и запустить новый поток с собственным программным кодом в рамках любого запущенного процесса.

Это позволяет избежать процессов, которые содержат любой из следующих строк на своем пути:

  • SafenSoft and SysWatch
  • McAfee and Security Center
  • McAfee and SecurityCenter
  • Symantec and Client
  • Symantec and Protection
  • Symantec and Shared
  • Symantec and Security
  • Norton and Protection
  • Kaspersky and Security
  • Kaspersky and Anti-Virus
  • avast! and Antivirus
  • AntiVir and Desktop
  • AVG and Monitor
  • AVG and Service
  • AVG and Security
  • ESET and Security
  • ESET and Antivirus
  • Microsoft and Inspection
  • Microsoft and Malware
  • Microsoft and Security
Показать больше
Показать меньше

После завершения установки троян удаляет исходный исполняемый файл.

Кража информации

Win32/Spy.Zbot.ААО-это троян, который крадет конфиденциальную информацию.

Троян собирает следующую информацию:

  • operating system version
  • user name
  • computer name
  • digital certificates
  • digital certificate passwords
  • URLs visited
  • data from the clipboard
  • login user names for certain applications/services
  • login passwords for certain applications/services
  • POP3 account information
  • IMAP account information
  • Outlook Express account data
  • e-mail addresses
  • FTP account information
  • installed antivirus software
  • installed firewall application
  • cookies
  • screenshots
  • installed software
Показать больше
Показать меньше

Троян способен запоминать нажатые клавиши.

Троян собирает конфиденциальные сведения, при просмотре определенных веб-сайтов.

Троян собирает информацию, относящуюся к следующим приложениям:

  • Mozilla Firefox
  • Internet Explorer
  • Google Chrome
  • FlashFXP
  • Total Commander
  • WS_FTP
  • FileZilla
  • FAR Manager
  • WinSCP
  • FTP Commander
  • Core FTP
  • SmartFTP
  • Outlook Express
  • Microsoft Outlook
Показать больше
Показать меньше

Собранная информация хранится в следующих файлах:

  • %appdata%\­%variable1%\­%variable2%.%variable3%
  • %appdata%\­%variable4%\­%variable5%.%variable6%

Строка с переменной используется вместо %variable1-6% .

Троян пытается отправить собранную информацию на удаленный компьютер

Дополнительная информация

Троян получает данные и команды от удаленного компьютера через интернет.

Троян генерирует различные URL-адреса. Используется HTTP протокол.

Общение в сети с удаленного компьютера/сервера шифруется. Используется алгоритм шифрования RC4.

Троян открывает случайный порт TCP.

Троян открывает случайный порт UDP.

Поддерживается выполнение следующих операций:

  • send the list of disk devices and their type to a remote computer
  • log keystrokes
  • capture screenshots
  • update itself to a newer version
  • remove itself from the infected computer
  • change the privileges of a running process
  • run executable files
  • set up a proxy server
  • set up an HTTP server
  • block access to specific websites
  • monitor network traffic
  • modify network traffic
  • send gathered information
  • shut down/restart the computer
  • change the home page of web browser
  • remove digital certificates
  • modify the content of websites
  • open a specific URL address
  • run executable files
  • log off the current user
  • capture video of the user's desktop
  • terminate running processes
  • perform DoS/DDoS attacks
  • delete cookies
Показать больше
Показать меньше

Троян перехватывает следующие функции Windows API:

  • PR_OpenTCPSocket (nspr4.dll)
  • PR_Close (nspr4.dll)
  • PR_Read (nspr4.dll)
  • PR_Write (nspr4.dll)
  • NtCreateUserProcess (ntdll.dll)
  • NtCreateThread (ntdll.dll)
  • LdrLoadDll (ntdll.dll)
  • ExitProcess (kernel32.dll)
  • GetFileAttributesExW (kernel32.dll)
  • CreateProcessAsUserA (advapi32.dll)
  • CreateProcessAsUserW (advapi32.dll)
  • PlaySoundA (winmm.dll)
  • PlaySoundW (winmm.dll)
  • HttpOpenRequestW (wininet.dll)
  • HttpOpenRequestA (wininet.dll)
  • HttpSendRequestW (wininet.dll)
  • HttpSendRequestA (wininet.dll)
  • HttpSendRequestExW (wininet.dll)
  • HttpSendRequestExA (wininet.dll)
  • HttpEndRequestA (wininet.dll)
  • HttpEndRequestW (wininet.dll)
  • InternetCloseHandle (wininet.dll)
  • InternetReadFile (wininet.dll)
  • InternetReadFileExA (wininet.dll)
  • InternetSetFilePointer (wininet.dll)
  • InternetQueryDataAvailable (wininet.dll)
  • HttpQueryInfoA (wininet.dll)
  • closesocket (ws2_32.dll)
  • send (ws2_32.dll)
  • WSASend (ws2_32.dll)
  • OpenInputDesktop (user32.dll)
  • SwitchDesktop (user32.dll)
  • DefWindowProcW (user32.dll)
  • DefWindowProcA (user32.dll)
  • DefDlgProcW (user32.dll)
  • DefDlgProcA (user32.dll)
  • DefFrameProcW (user32.dll)
  • DefFrameProcA (user32.dll)
  • DefMDIChildProcW (user32.dll)
  • DefMDIChildProcA (user32.dll)
  • CallWindowProcW (user32.dll)
  • CallWindowProcA (user32.dll)
  • RegisterClassW (user32.dll)
  • RegisterClassA (user32.dll)
  • RegisterClassExW (user32.dll)
  • RegisterClassExA (user32.dll)
  • BeginPaint (user32.dll)
  • EndPaint (user32.dll)
  • GetDCEx (user32.dll)
  • GetDC (user32.dll)
  • GetWindowDC (user32.dll)
  • ReleaseDC (user32.dll)
  • GetUpdateRect (user32.dll)
  • GetUpdateRgn (user32.dll)
  • GetMessagePos (user32.dll)
  • GetCursorPos (user32.dll)
  • SetCursorPos (user32.dll)
  • SetCapture (user32.dll)
  • ReleaseCapture (user32.dll)
  • GetCapture (user32.dll)
  • GetMessageW (user32.dll)
  • GetMessageA (user32.dll)
  • PeekMessageW (user32.dll)
  • PeekMessageA (user32.dll)
  • TranslateMessage (user32.dll)
  • GetClipboardData (user32.dll)
  • PFXImportCertStore (crypt32.dll)
  • gethostbyname (ws2_32.dll)
  • getaddrinfo (ws2_32.dll)
Показать больше
Показать меньше

Троян может устанавливать следующие значения реестра:

  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Internet Explorer\­Main]
    • "Start Page" = "%variable1%"
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Internet Explorer\­PhishingFilter]
    • "Enabled" = 0
    • "EnabledV8" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Internet Explorer\­Privacy]
    • "CleanCookies" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­0]
    • "1406" = 0
    • "1609" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­1]
    • "1406" = 0
    • "1609" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­2]
    • "1406" = 0
    • "1609" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­3]
    • "1406" = 0
    • "1609" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­4]
    • "1406" = 0
    • "1609" = 0
  • "Start Page" = "%variable1%"
  • "Enabled" = 0
  • "EnabledV8" = 0
  • "CleanCookies" = 0
  • "1406" = 0
  • "1609" = 0
  • "1406" = 0
  • "1609" = 0
  • "1406" = 0
  • "1609" = 0
  • "1406" = 0
  • "1609" = 0
  • "1406" = 0
  • "1609" = 0

Троян может внести изменения в ледующий файл:

  • %firefoxprofilefolder%\­user.js

Троян производит следующие записи в файл:

  • user_pref("browser.startup.homepage", "%variable2%");
  • user_pref("browser.startup.page", 1);
  • user_pref("network.cookie.cookieBehavior", 0);
  • user_pref("privacy.clearOnShutdown.cookies", false);
  • user_pref("security.warn_viewing_mixed", false);
  • user_pref("security.warn_viewing_mixed.show_once", false);
  • user_pref("security.warn_submit_insecure", false);
  • user_pref("security.warn_submit_insecure.show_once", false);
Показать больше
Показать меньше

Он содержит следующий текст:

  • Coded by BRIAN KREBS for personal use only. I love my job & wife.

Строка с переменной используется вместо %variable1-2% .

Как удалить

Для удаления указанного вредоносного ПО можно воспользоваться следующими специальными утилитами, предназначенными для удаления именно этого зловреда и его разновидностей:

WIN32/ZBOT remover от AVG

ZbotKiller от Kaspersky

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности *

Следите за нами:

Яндекс.Метрика