Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Spy.ZBot.acr
La date de la dcouverte:03/08/2012
Type:Cheval de Troie
En circulation:Non
Infections signales Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:181.760 Octets
Version VDF:7.11.38.196 - vendredi 3 août 2012
Version IVDF:7.11.38.196 - vendredi 3 août 2012

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.exmv
   •  Eset: Win32/Spy.Zbot.YW
     DrWeb: Trojan.PWS.Panda.547


Plateformes / Systmes d'exploitation:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il cre des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers  Il cre sa propre copie lemplacement suivant. Un nombre doctets alatoire a t ajout ce fichier ou le fichier a chang. Il se peut donc quil diffre du fichier dorigine :
   • %APPDATA%\%chane de caractres alatoire%\%chane de caractres alatoire%.exe



Il cre les rpertoires suivants:
   • %APPDATA%\%chane de caractres alatoire%
   • %APPDATA%\%chane de caractres alatoire%



Les fichiers suivants sont crs:

%APPDATA%\%chane de caractres alatoire%\%chane de caractres alatoire%.%chane de caractres alatoire% Ensuite, il est excut aprs avoir t completment cre.
%TEMPDIR%\TMP%nombre%.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{%le CLSID gnr%}"="c:\Documents and Settings\Use\Application Data\%chane de caractres alatoire%\%chane de caractres alatoire%.exe"



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\explorer.exe = %WINDIR%\explorer.exe

 Porte drobe Serveur de contact:
Tous les suivants:
   • http://sadawehot.net/e**********g.php
   • http://sadawehot.net/e**********in.php

En consquence il peut envoyer de l'information et fournir d'accs distance. Ceci est fait par l'intermdiaire de la mthode HTTP POST en utilisant un script PHP.

 L'injection du code viral dans d'autres processus  Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • %WINDIR%\Explorer.EXE
   • %SYSDIR%\cmd.exe


 Informations divers Mutex:
Il cre le Mutex suivant:
   • %le CLSID gnr%

Description insérée par Tudor Ciochina le mardi 25 septembre 2012
Description mise à jour par Tudor Ciochina le mardi 25 septembre 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.