Backdoor-Zincite.a

Backdoor-Zincite.a

نوع : Trojan Horse
سايز : 8,192 بایت

خصوصيات ويروس:

1)پورت 1034 را در اختيار مي گيرد و از طريق آن به کليه فايلهاي سيستم آلوده شده دسترسي دارد. همچنين با توليد IP ADDRESS تصادفي در صورت برقراري ارتباط با ساير سيستم هاي آلوده، IP آنها را براي نفوذ هاي بعدي ذخيره مي کند.

2)از طريق Smtp Engineکه در ويروس وجود دارد Email ها ي آلوده با مشخصات زير ارسال مي کند:

2-1) آدرس مقاصد مورد نظر را از درون فايلهايي با پسوند هاي زير مي خواند:

· .adb
· .asp
· .cfg
· .cgi
· .dbx
· .dhtm
· .doc
· .eml
· .htm
· .html
· .jsp
· .mbx
· .mdx
· .mht
· .mmf
· .msg
· .nch
· .oft
· .php
· .ods
· .pl
· .ppt
· .rtf
· .sht
· .shtm
· .stm
· .tbb
· .txt
· .uin
· .vbs
· .wab
· .wsh
· .xls
· .xml

2-2) يکي از موارد زير را بعنوان موضوع Email انتخاب مي کند:

· Hello
· Hi
· Important
· Important bill!
· Important data!
· Important details!
· Important document!
· Important informations!
· Important notice!
· Important textfile!
· Important!
· Information

2-3) نام فايلهاي ضميمه (Attachment) يکي از موارد زير مي باشد:

· Bill.zip
· Data.zip
· Details.zip
· Important.zip
· Informations.zip
· Notice.zip
· Part-2.zip
· Textfile.zip

3) تغييراتي که در رجيستري ايجاد مي شوند عبارتند از:

3-1) جهت اجراي اتوماتيک هنگام ورود به سيستم، مقدار :

"Services" = "%Windir%\services.exe"

را به کليد

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

اضافه مي کند.

4) فايلهايي که بر روي سيستم ايجاد مي کند عبارتند از:

4-1) فايل services.exe را در مسير %Windir%ايجاد مي کند.