¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nume:TR/PSW.Zbot.258048.270
Descoperit pe data de:14/01/2013
Tip:Troian
Subtip:PSW
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:255344 Bytes
MD5:fa3bc1fd5c27206c47492c6ca5fcfaf4
Versiune VDF:7.11.57.60 - luni, 14 ianuarie 2013
Versiune IVDF:7.11.57.60 - luni, 14 ianuarie 2013

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
     DrWeb: Trojan.PWS.Panda.2401


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %Appdata%\%sir de 6 caractere aleatoare%\%sir de 5 caractere aleatoare%.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%Appdata%\%sir de 5 caractere aleatoare%\%sir de 5 caractere aleatoare%.%sir de 3 caractere aleatoare%
%TEMPDIR%\tmp%sir de 8 caractere aleatoare%.bat Fisierul este executat dupa ce a fost creat.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%sir de 6 caractere aleatoare% \\%5 random character string%.exe\"



Se adauga in registrii sistemului:

[HKCU\Software\Microsoft\Avgu]


Urmatoarele chei din registri sunt modificate:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Vechea valoare:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Vechea valoare:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Noua valoare:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Vechea valoare:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Noua valoare:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Injectarea codului malware in alte procese     Numele procesului:
   • Explorer.exe


 Alte informatii Simuleaza un fisier curat:
Procesul malware pretinde a fi urmatorul proces sigur: NTSD.Exe
Atentie, pana si iconita va fi falsificata. Prin urmare, acest malware pare a fi chiar procesul mentionat.

Descripción insertada por Wensin Lee el miércoles 16 de enero de 2013
Descripción actualizada por Wensin Lee el miércoles 16 de enero de 2013

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.