¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/PSW.Zbot.258048.270
Descubierto:14/01/2013
Tipo:Troyano
Subtipo:PSW
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:255344 Bytes
Suma de control MD5:fa3bc1fd5c27206c47492c6ca5fcfaf4
Versión del VDF:7.11.57.60 - lunes, 14 de enero de 2013
Versión del IVDF:7.11.57.60 - lunes, 14 de enero de 2013

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
   •  DrWeb: Trojan.PWS.Panda.2401


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %Appdata%\%serie de caracteres aleatorios de seis dígitos%\%serie de caracteres aleatorios de cinco dígitos%.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– %Appdata%\%serie de caracteres aleatorios de cinco dígitos%\%serie de caracteres aleatorios de cinco dígitos%.%serie de caracteres aleatorios de tres dígitos%
%TEMPDIR%\tmp%serie de caracteres aleatorios de ocho dígitos%.bat Además, el fichero es ejecutado después de haber sido creado.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%serie de caracteres aleatorios de seis dígitos% \\%5 random character string%.exe\"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Avgu]


Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor anterior:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor anterior:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Nuevo valor:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor anterior:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Nuevo valor:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Inyectar el código viral en otros procesos     Nombre del proceso:
   • Explorer.exe


 Informaciones diversas Simula ser un fichero de confianza:
Su proceso finge ser el proceso de confianza siguiente: NTSD.Exe
Por favor tenga en cuenta que el malware incluso puede falsificar el icono. Por esta razón, este parece ser el proceso mencionado arriba. 

Descripción insertada por Wensin Lee el miércoles, 16 de enero de 2013
Descripción actualizada por Wensin Lee el miércoles, 16 de enero de 2013

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.