Zbot.THX trójai


2013. augusztus 31. 08:47

CH azonosító

CH-9714

Angol cím

Zbot.THX trojan

Felfedezés dátuma

2013.08.27.

Súlyosság

Közepes

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A kémprogram elsősorban a levelező rendszereket támadja. Felhasználónevek, valamint jelszavak gyűjtését végzi.

Leírás

A kémprogram elsősorban a levelező rendszereket támadja, és felhasználónevek, valamint jelszavak gyűjtését végzi. Megfertőzi a Windows rendszer folyamatait “explorer.exe”, így a windows tűzfal mellett is aktív tud maradni. Ha víruskeresőre, virtuális gépre utaló jeleket tapasztal a program azonnal leállítja a működését.

Technikai folyamatai:

1. Létrehozza a következő állományokat:
%Application Data%[véletlenszerű karakterek][véletlenszerű karakterek].exe
%Application Data%[véletlenszerű karakterek][véletlenszerű
karakterek].[véletlenszerű karakterek]

2. Létrehoz két új mappát az alábbiak szerint:
%Application Data%[véletlenszerű karakterek]

3. Létrehoz néhány mutexet annak érdekében, hogy egyszerre csak egy
példányban fusson a rendszeren.

4. Megfertőzi az explorer.exe folyamatot.

5. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
[véletlenszerű karakterek].exe = “%Application Data%[véletlenszerű
karakterek][véletlenszerű karakterek].exe”

6. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű karakterek]
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű
karakterek][véletlenszerű karakterek] = “[véletlenszerű karakterek]”

7. Megpróbálja megkerülni a Windows beépített tűzfalát:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicyStandardProfileAuthorizedApplications
List
%Windows%explorer.exe = “%Windows%explorer.exe:*:Enabled:Windows Explorer”

8. A Google egyik weboldalának lekérdezésével ellenőrzi, hogy van-e élő
internetkapcsolat.

9. Csatlakozik előre meghatározott távoli szerverekhez, és azokról egy-egy
konfigurációs állományt tölt le.

10. Összegyűjti az alábbi adatokat:
– cookie fájlok
– postafiókokkal kapcsolatos adatok, e-mail címek, jelszavak, szerveradatok.

11. Ellenőrzi, hogy olyan környezetben fut-e, amelyet víruselemzésre
használnak. Ehhez többek között az alábbi fájlokat, illetve a regisztrációs
adatbázisban lévő bejegyzéseket kérdezi le:
C:TOOLSexecute.exe
C:popupkiller.exe
SbieDll.dll
HKEY_LOCAL_MACHINESoftwareWine
HKEY_CURRENT_USERSoftwareWine
    Támogatóink
<http://www.biztonsagportal.hu/>
Biztonságportál <http://www.biztonsagportal.hu/>
<http://www.biztonsagcenter.hu/>
Biztonságcenter <http://www.biztonsagcenter.hu/>
 <http://www.netlock.hu/>
 <http://www.symantec.hu/>

Megoldás

Rendszeresen frissített vírusírtó

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: about-threats.trendmicro.com

Legfrissebb sérülékenységek
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-68428 – jsPDF path traversal sérülékenysége
Tovább a sérülékenységekhez »