Name:TR/Spy.Z.qoi.116224
Entdeckt am:18/05/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:116.224 Bytes
MD5 Prüfsumme:0783b42a2ed1c4597d06e398bb153362
VDF Version:7.10.07.130

 General Aliases:
   •  Symantec: Trojan.FakeAV
   •  Mcafee: PWS-Zbot
   •  Kaspersky: Trojan-Spy.Win32.Zbot.ajlk
   •  TrendMicro: TSPY_ZBOT.BYW
   •  Sophos: Mal/FakeAV-DL
   •  Bitdefender: Trojan.Generic.3953930
   •  Panda: Trj/Sinowal.XDY
   •  Eset: Win32/Spy.Zbot.YW
   •  AhnLab: Win-Trojan/Zbot.116224.G
   •  Authentium: W32/Zbot.AVC
   •  DrWeb: Trojan.PWS.Panda.244
   •  Fortinet: W32/Zbot!tr
   •  Ikarus: Trojan-Spy.Win32.Zbot
   •  Norman: W32/Zbot.SUF
   •  Rising: Trojan.Win32.Generic.521C2AE7


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sdra64.exe

 Registry Folgender Registryschlüssel wird geändert:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   Alter Wert:
   • "userinit"="%SYSDIR%\userinit.exe,"
   Neuer Wert:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Hintertür Kontaktiert Server:
Den folgenden:
   • gigapayfosus.com


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Diaconescu am Mittwoch, 18. August 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 23. August 2010

zurück . . . .