TSPY_ZBOT.SMHA
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
Um einen ?berblick ¨¹ber das Verhalten dieser Trojan zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.
Wird m?glicherweise von anderer Malware eingeschleust. Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.
Wird m?glicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgef¨¹hrt werden:
?ffnet zuf?llig ausgew?hlte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung f¨¹hrt der externe Benutzer Befehle auf dem betroffenen System aus.
Ruft bestimmte Informationen vom betroffenen System ab.
D¨¦tails techniques
?bertragungsdetails
Wird m?glicherweise von anderer Malware eingeschleust.
Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.
Installation
Schleust die folgenden Dateien ein:
- %Application Data%\{random folder name 1}\{random file name}.exe - copy of itself
- %Application Data%\{random folder name 2}\{random file name} - contains encrypted stolen data
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %Application Data%\{random folder name 1}
- %Application Data%\{random folder name 2}
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Wird in die folgenden Prozesse injiziert, die im Arbeitsspeicher ausgef¨¹hrt werden:
- explorer.exe
- taskhost.exe
- taskeng.exe
- Dwm.exe
- wscntfy.exe
- ctfmon.exe
- rdpclip.exe
Wird m?glicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgef¨¹hrt werden:
Autostart-Technik
F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = %Application Data%\{random folder name 1}\{random file name}.exe
Andere System?nderungen
F¨¹gt die folgenden Registrierungsschl¨¹ssel als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
{random characters}
Erstellt den oder die folgenden Registrierungseintr?ge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer
Backdoor-Routine
?ffnet zuf?llig ausgew?hlte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung f¨¹hrt der externe Benutzer Befehle auf dem betroffenen System aus.
Datendiebstahl
Greift auf die folgende Site zu, um die eigene Konfigurationsdatei herunterzuladen:
- http://www.{BLOCKED}ptbiz.ru/turkishxan.bin
- http://{BLOCKED}orntonllp.com/IEupdater.bin
Ruft folgende Informationen vom betroffenen System ab:
- Personal certificates (MY)
- FTP credentials
- Internet session cookies
- Flash player data
Solutions
Step 1
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Im abgesicherten Modus neu starten
Step 3
Diesen Registrierungsschl¨¹ssel l?schen
Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.
- In HKEY_CURRENT_USER\Software\Microsoft
- {random characters}
Step 4
Diesen Registrierungswert l?schen
Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {GUID} = %Application Data%\{random folder name 1}\{random file name}.exe
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Windows%\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer
Step 5
Diesen Ordner suchen und l?schen
- %Application Data%\{random folder name 1}
- %Application Data%\{random folder name 2}
Step 6
F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als TSPY_ZBOT.SMHA entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Participez ¨¤ notre enqu¨ºte!