ZBot.dkx
Verbreitung: *****
Schaden: *****
Eine mit einem Trojaner verseuchte E-Mail, behauptet angeblich ein Paket empfangen zu haben. Weitere Informationen über das Paket könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über das Paket, sondern der Trojaner ZBot.dkx, der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „ Parcel “.
Dateianhang: „Bill.zip“
E-Mail-Text: „Good day, we have received a parcel for you, sent from France.
Dateigröße: 56.320 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe
Es werden folgende Dateien erstellt:
– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wnspoem\video.dll
• %SYSDIR%\wnspoem\audio.dll
Folgender Registryschlüssel wird geändert:
– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
Alter Wert:
• "userinit"="%SYSDIR%\userinit.exe,"
Neuer Wert:
• "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.ex e,"
Der folgende Port wird geöffnet:
– svchost.exe an einem zufälligen TCP port