Trojaner ZBot.dkx


Verbreitung: *****

Schaden: *****

eine mit einem Trojaner verseuchte E-Mail, behauptet angeblich ein Paket empfangen zu haben. Weitere Informationen über das Paket könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über das Paket, sondern der Trojaner ZBot.dkx, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen:

Betreff: „ Parcel “.

Dateianhang: „Bill.zip“

E-Mail-Text: „Good day, we have received a parcel for you, sent from France.

Dateigröße: 56.320 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\ntos.exe
Es werden folgende Dateien erstellt:

Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
%SYSDIR%\wnspoem\video.dll
%SYSDIR%\wnspoem\audio.dll
Folgender Registryschlüssel wird geändert:

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
Alter Wert:
"userinit"="%SYSDIR%\userinit.exe,"
Neuer Wert:
"userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.ex e,"
Der folgende Port wird geöffnet:

svchost.exe an einem zufälligen TCP port
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!