¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nume:TR/PSW.Zbot.258048.270
Descoperit pe data de:14/01/2013
Tip:Troian
Subtip:PSW
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:255344 Bytes
MD5:fa3bc1fd5c27206c47492c6ca5fcfaf4
Versiune VDF:7.11.57.60 - luni, 14 ianuarie 2013
Versiune IVDF:7.11.57.60 - luni, 14 ianuarie 2013

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
   •  DrWeb: Trojan.PWS.Panda.2401


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %Appdata%\%sir de 6 caractere aleatoare%\%sir de 5 caractere aleatoare%.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– %Appdata%\%sir de 5 caractere aleatoare%\%sir de 5 caractere aleatoare%.%sir de 3 caractere aleatoare%
%TEMPDIR%\tmp%sir de 8 caractere aleatoare%.bat Fisierul este executat dupa ce a fost creat.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%sir de 6 caractere aleatoare% \\%5 random character string%.exe\"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Avgu]


Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Vechea valoare:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Vechea valoare:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Noua valoare:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Vechea valoare:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Noua valoare:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Injectarea codului malware in alte procese     Numele procesului:
   • Explorer.exe


 Alte informatii Simuleaza un fisier curat:
Procesul malware pretinde a fi urmatorul proces sigur: NTSD.Exe
Atentie, pana si iconita va fi falsificata. Prin urmare, acest malware pare a fi chiar procesul mentionat.

Descripción insertada por Wensin Lee el miércoles, 16 de enero de 2013
Descripción actualizada por Wensin Lee el miércoles, 16 de enero de 2013

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.