Need help? Ask the community or hire an expert.
Go to Avira Answers
Nome del virus:TR/PSW.Zbot.258048.270
Scoperto:14/01/2013
Tipo:Trojan
Sottotipo:PSW
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:255344 Byte
Somma di controllo MD5:fa3bc1fd5c27206c47492c6ca5fcfaf4
Versione VDF:7.11.57.60 - lunedì 14 gennaio 2013
Versione IVDF:7.11.57.60 - lunedì 14 gennaio 2013

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
   •  DrWeb: Trojan.PWS.Panda.2401


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %Appdata%\%stringa casuale di sei caratteri%\%stringa casuale di cinque caratteri%.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– %Appdata%\%stringa casuale di cinque caratteri%\%stringa casuale di cinque caratteri%.%stringa casuale di tre caratteri%
%TEMPDIR%\tmp%stringa casuale di otto caratteri%.bat Viene eseguito ulteriormente dopo che è stato completamente creato.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%stringa casuale di sei caratteri% \\%5 random character string%.exe\"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Avgu]


Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valore precedente:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valore precedente:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Nuovo valore:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valore precedente:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Nuovo valore:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Come il virus si inserisce nei processi     Nome del processo:
   • Explorer.exe


 Varie File falsificati:
Finge di essere il seguente processo: NTSD.Exe
Da notare che il malware falsifica persino l'icona. Appare dunque come il processo sopracitato.

Description inserted by Wensin Lee on Wednesday, January 16, 2013
Description updated by Wensin Lee on Wednesday, January 16, 2013

Back . . . .