¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Spy.ZBot.acr
Descubierto:03/08/2012
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:No
Tamao:181.760 Bytes
Versin del VDF:7.11.38.196 - viernes 3 de agosto de 2012
Versin del IVDF:7.11.38.196 - viernes 3 de agosto de 2012

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.exmv
   •  Eset: Win32/Spy.Zbot.YW
     DrWeb: Trojan.PWS.Panda.547


Plataformas / Sistemas operativos:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros  Se copia en la siguiente ubicacin. Este archivo tiene bytes aleatorios acondicionados o cambiados, por lo que puede diferir del original:
   • %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe



Crea las siguientes carpetas:
   • %APPDATA%\%serie de caracteres aleatorios%
   • %APPDATA%\%serie de caracteres aleatorios%



Crea los siguientes ficheros:

%APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.%serie de caracteres aleatorios% Adems, el fichero es ejecutado despus de haber sido creado.
%TEMPDIR%\TMP%nmero%.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{%CLSID generados%}"="c:\Documents and Settings\Use\Application Data\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\explorer.exe = %WINDIR%\explorer.exe

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://sadawehot.net/e**********g.php
   • http://sadawehot.net/e**********in.php

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el mtodo HTTP POST, empleando un script PHP.

 Inyectar el cdigo viral en otros procesos  Se inserta como amenaza remota en los procesos.

    Los siguientes procesos:
   • %WINDIR%\Explorer.EXE
   • %SYSDIR%\cmd.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • %CLSID generados%

Descripción insertada por Tudor Ciochina el martes 25 de septiembre de 2012
Descripción actualizada por Tudor Ciochina el martes 25 de septiembre de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.