¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/PSW.Zbot.258048.270
Descubierto:14/01/2013
Tipo:Troyano
Subtipo:PSW
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Bajo
Fichero esttico:S
Tamao:255344 Bytes
Suma de control MD5:fa3bc1fd5c27206c47492c6ca5fcfaf4
Versin del VDF:7.11.57.60 - lunes 14 de enero de 2013
Versin del IVDF:7.11.57.60 - lunes 14 de enero de 2013

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
     DrWeb: Trojan.PWS.Panda.2401


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Suelta un fichero daino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %Appdata%\%serie de caracteres aleatorios de seis dgitos%\%serie de caracteres aleatorios de cinco dgitos%.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%Appdata%\%serie de caracteres aleatorios de cinco dgitos%\%serie de caracteres aleatorios de cinco dgitos%.%serie de caracteres aleatorios de tres dgitos%
%TEMPDIR%\tmp%serie de caracteres aleatorios de ocho dgitos%.bat Adems, el fichero es ejecutado despus de haber sido creado.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%serie de caracteres aleatorios de seis dgitos% \\%5 random character string%.exe\"



Aade la siguiente clave al registro:

[HKCU\Software\Microsoft\Avgu]


Modifica las siguientes claves del registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor anterior:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor anterior:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Nuevo valor:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor anterior:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Nuevo valor:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Inyectar el cdigo viral en otros procesos     Nombre del proceso:
   • Explorer.exe


 Informaciones diversas Simula ser un fichero de confianza:
Su proceso finge ser el proceso de confianza siguiente: NTSD.Exe
Por favor tenga en cuenta que el malware incluso puede falsificar el icono. Por esta razn, este parece ser el proceso mencionado arriba.

Descripción insertada por Wensin Lee el miércoles 16 de enero de 2013
Descripción actualizada por Wensin Lee el miércoles 16 de enero de 2013

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.