¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Spy.ZBot.pcd
Descubierto:15/07/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:118.272 Bytes
Suma de control MD5:34785719f9f106ea4183e081a1497cb7
Versin del IVDF:7.10.09.92 - jueves 15 de julio de 2010

 General Alias:
   •  Bitdefender: Trojan.Generic.KD.20255
   •  Panda: Trj/Sinowal.XFF
   •  Eset: Win32/Spy.Zbot.YW


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
        CVE-2007-1204
        MS07-019

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\sdra64.exe



Crea los siguientes ficheros:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\lowsec\user.ds.lll



Intenta descargar un fichero:

La direccin es la siguiente:
   • http://113.11.194.175/uk/**********

 Registro Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



Aade las siguientes claves al registro:

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%nombre del ordenador%_7875768FCFF3ECE1"

[HKEY_USERS\.DEFAULT\Software\Microsoft\
   Protected Storage System Provider\S-1-5-18\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,57,6F,9D,AF,7D,E6,36,AA,6A,68,3F,AE,02,8D,CA,CC,DD,E1,53,47,27,16,AD,AE,10,00,00,00,89,3D,50,AD,A5,CF,68,A8,24,AE,9C,50,4F,CE,FB,3C,14,00,00,00,0E,7A,2E,62,67,02,4C,87,2F,B9,82,BD,14,A7,14,EA,6E,C9,BA,57

[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-19]
   • "Migrate"=dword:0x00000002

[HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D

[HKEY_USERS\S-1-5-19\Software\Microsoft\
   Protected Storage System Provider\S-1-5-19\Data 2\Windows]
   • "Value"=hex:01,00,00,00,1C,00,00,00,03,00,00,00,AF,F8,93,D1,AB,2B,B1,F0,C3,9D,47,15,85,46,2E,DE,73,10,CA,79,90,78,B0,27,10,00,00,00,CD,A2,D0,3B,A8,18,52,9F,86,1D,33,31,B4,4E,20,F1,14,00,00,00,CE,58,EE,A8,EA,9F,7A,D0,0E,29,75,B9,82,16,9B,9B,BF,54,67,5C

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\
   Protected Storage System Provider\S-1-5-18]
   • "Migrate"=dword:0x00000002

[HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%nombre del ordenador%_7875768FCFF3ECE1"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Network]
   • "UID"="%nombre del ordenador%_7875768FCFF3ECE1"



Modifica las siguientes claves del registro:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuevo valor:
   • "ParseAutoexec"="1"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuevo valor:
   • "ParseAutoexec"="1"

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • winlogon.exe



Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • svchost.exe



Se inyecta como un hilo de ejecucin remoto en un proceso.

Se inserta en todos los procesos.


 Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • _AVIRA_2110
   • _AVIRA_2109
   • _AVIRA_2108
   • _AVIRA_2101
   • _AVIRA_21099

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el viernes 12 de noviembre de 2010
Descripción actualizada por Petre Galan el viernes 12 de noviembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.