ZBot.dkx



Verbreitung: *****
Schaden: *****

Eine mit einem Trojaner verseuchte E-Mail, behauptet angeblich ein Paket empfangen zu haben. Weitere Informationen über das Paket könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über das Paket, sondern der Trojaner ZBot.dkx, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „ Parcel “.

Dateianhang: „Bill.zip“

E-Mail-Text: „Good day, we have received a parcel for you, sent from France.

Dateigröße: 56.320 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Es werden folgende Dateien erstellt:
– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wnspoem\video.dll
• %SYSDIR%\wnspoem\audio.dll

Folgender Registryschlüssel wird geändert:
– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
Alter Wert:
• "userinit"="%SYSDIR%\userinit.exe,"
Neuer Wert:
• "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.ex e,"

Der folgende Port wird geöffnet:
– svchost.exe an einem zufälligen TCP port