Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Zbot.836
La date de la dcouverte:22/09/2010
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:43.008 Octets
Somme de contrle MD5:202a068e9e52853d7ed7887ec7dfbe52
Version VDF:7.10.05.78
Version IVDF:7.10.11.254 - mercredi 22 septembre 2010

 Gnral Mthodes de propagation:
    Fonctionnalit d'excution automatique
    Contamine les fichiers


Les alias:
   •  Mcafee: W32/Ramnit
   •  Kaspersky: Backdoor.Win32.IRCNite.aqg
   •  Sophos: Mal/FakeAV-BW
   •  Bitdefender: Trojan.Zbot.836
     GData: Trojan.Zbot.836


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
Contamine les fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe
   • %lecteur%\RECYCLER\autorun.exe



Les fichiers suivants sont crs:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%PROGRAM FILES%\Internet Explorer\dmlconf.dat



Il essaie dexcuter les fichiers suivants :

Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe


Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

 Registre La cl de registre suivante est change:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\desktoplayer.exe"

 Infecteur Type de contamination:

Appender - Le code principal du virus est ajout la fin du fichier contamin.
La section suivante est ajoute au fichier contamin :
   • .rmnet


Furtif :
Aucune technique de furtivit n'est utilise. Le virus modifie l'OEP (Original Entry Point) du fichier contamin pour diriger vers le code du virus.


Mthode:

Cet infecteur direct cherche activement des fichiers pour les infecter


Les fichiers suivants sont contamins:

Par type de fichier:
   • exe (+44544) -> W32/Ramnit.A
   • dll (+44544) -> W32/Ramnit.A
   • html (+86498) -> HTML/Drop.Agent.AB

 Porte drobe Serveur de contact:
Le suivant:
   • jef**********.com:442 (TCP)


 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus :
   • iexplore.exe


 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • google.com:80
   • bing.com:80
   • yahoo.com:80


Mutex:
Il cre le Mutex suivant:
   • KyUffThOkYwRRtgPP

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le vendredi 8 avril 2011
Description mise à jour par Petre Galan le vendredi 8 avril 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.