Zbot.THX trójai


2013. augusztus 31. 08:47

CH azonosító

CH-9714

Angol cím

Zbot.THX trojan

Felfedezés dátuma

2013.08.27.

Súlyosság

Közepes

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A kémprogram elsősorban a levelező rendszereket támadja. Felhasználónevek, valamint jelszavak gyűjtését végzi.

Leírás

A kémprogram elsősorban a levelező rendszereket támadja, és felhasználónevek, valamint jelszavak gyűjtését végzi. Megfertőzi a Windows rendszer folyamatait “explorer.exe”, így a windows tűzfal mellett is aktív tud maradni. Ha víruskeresőre, virtuális gépre utaló jeleket tapasztal a program azonnal leállítja a működését.

Technikai folyamatai:

1. Létrehozza a következő állományokat:
%Application Data%[véletlenszerű karakterek][véletlenszerű karakterek].exe
%Application Data%[véletlenszerű karakterek][véletlenszerű
karakterek].[véletlenszerű karakterek]

2. Létrehoz két új mappát az alábbiak szerint:
%Application Data%[véletlenszerű karakterek]

3. Létrehoz néhány mutexet annak érdekében, hogy egyszerre csak egy
példányban fusson a rendszeren.

4. Megfertőzi az explorer.exe folyamatot.

5. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
[véletlenszerű karakterek].exe = “%Application Data%[véletlenszerű
karakterek][véletlenszerű karakterek].exe”

6. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű karakterek]
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű
karakterek][véletlenszerű karakterek] = “[véletlenszerű karakterek]”

7. Megpróbálja megkerülni a Windows beépített tűzfalát:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicyStandardProfileAuthorizedApplications
List
%Windows%explorer.exe = “%Windows%explorer.exe:*:Enabled:Windows Explorer”

8. A Google egyik weboldalának lekérdezésével ellenőrzi, hogy van-e élő
internetkapcsolat.

9. Csatlakozik előre meghatározott távoli szerverekhez, és azokról egy-egy
konfigurációs állományt tölt le.

10. Összegyűjti az alábbi adatokat:
– cookie fájlok
– postafiókokkal kapcsolatos adatok, e-mail címek, jelszavak, szerveradatok.

11. Ellenőrzi, hogy olyan környezetben fut-e, amelyet víruselemzésre
használnak. Ehhez többek között az alábbi fájlokat, illetve a regisztrációs
adatbázisban lévő bejegyzéseket kérdezi le:
C:TOOLSexecute.exe
C:popupkiller.exe
SbieDll.dll
HKEY_LOCAL_MACHINESoftwareWine
HKEY_CURRENT_USERSoftwareWine
    Támogatóink
<http://www.biztonsagportal.hu/>
Biztonságportál <http://www.biztonsagportal.hu/>
<http://www.biztonsagcenter.hu/>
Biztonságcenter <http://www.biztonsagcenter.hu/>
 <http://www.netlock.hu/>
 <http://www.symantec.hu/>

Megoldás

Rendszeresen frissített vírusírtó

Hatás

Unknown (Ismeretlen)

Hivatkozások

Egyéb referencia: about-threats.trendmicro.com

Legfrissebb sérülékenységek
CVE-2026-40372 – ASP.NET Core sérülékenysége
CVE-2026-20133 – Cisco Catalyst SD-WAN Manager Exposure of Sensitive Information to an Unauthorized Actor sérülékenység
CVE-2025-2749 – Kentico Xperience Path Traversal sérülékenység
CVE-2025-48700 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenység
CVE-2025-32975 – Quest KACE Systems Management Appliance (SMA) Improper Authentication sérülékenység
CVE-2024-27199 – JetBrains TeamCity Relative Path Traversal sérülékenység
CVE-2026-34197 – Apache ActiveMQ Improper Input Validation sérülékenység
CVE-2026-33825 – Microsoft Defender Elevation of Privilege sérülékenység
CVE-2019-11510 – Ivanti Pulse Connect Secure Arbitrary File Read sérülékenység
CVE-2018-8453 – Microsoft Win32k Privilege Escalation sérülékenység
Tovább a sérülékenységekhez »