¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Spy.ZBot.acr
Descubierto:03/08/2012
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:No
Tamaño:181.760 Bytes
Versión del VDF:7.11.38.196 - viernes, 3 de agosto de 2012
Versión del IVDF:7.11.38.196 - viernes, 3 de agosto de 2012

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.exmv
   •  Eset: Win32/Spy.Zbot.YW
   •  DrWeb: Trojan.PWS.Panda.547


Plataformas / Sistemas operativos:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros  Se copia en la siguiente ubicación. Este archivo tiene bytes aleatorios acondicionados o cambiados, por lo que puede diferir del original:
   • %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe



Crea las siguientes carpetas:
   • %APPDATA%\%serie de caracteres aleatorios%
   • %APPDATA%\%serie de caracteres aleatorios%



Crea los siguientes ficheros:

– %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.%serie de caracteres aleatorios% Además, el fichero es ejecutado después de haber sido creado.
%TEMPDIR%\TMP%número%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{%CLSID generados%}"="c:\Documents and Settings\Use\Application Data\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\explorer.exe = %WINDIR%\explorer.exe

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://sadawehot.net/e**********g.php
   • http://sadawehot.net/e**********in.php

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP POST, empleando un script PHP.

 Inyectar el código viral en otros procesos – Se inserta como amenaza remota en los procesos.

    Los siguientes procesos:
   • %WINDIR%\Explorer.EXE
   • %SYSDIR%\cmd.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • %CLSID generados%

Descripción insertada por Tudor Ciochina el martes, 25 de septiembre de 2012
Descripción actualizada por Tudor Ciochina el martes, 25 de septiembre de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.