Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Spy.ZBot.acr
La date de la découverte:03/08/2012
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:181.760 Octets
Version VDF:7.11.38.196 - vendredi 3 août 2012
Version IVDF:7.11.38.196 - vendredi 3 août 2012

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.exmv
   •  Eset: Win32/Spy.Zbot.YW
   •  DrWeb: Trojan.PWS.Panda.547


Plateformes / Systèmes d'exploitation:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers  Il crée sa propre copie à l’emplacement suivant. Un nombre d’octets aléatoire a été ajouté à ce fichier ou le fichier a changé. Il se peut donc qu’il diffère du fichier d’origine :
   • %APPDATA%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe



Il crée les répertoires suivants:
   • %APPDATA%\%chaîne de caractères aléatoire%
   • %APPDATA%\%chaîne de caractères aléatoire%



Les fichiers suivants sont créés:

– %APPDATA%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.%chaîne de caractères aléatoire% Ensuite, il est exécuté après avoir été completment crée.
%TEMPDIR%\TMP%nombre%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{%le CLSID généré%}"="c:\Documents and Settings\Use\Application Data\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\explorer.exe = %WINDIR%\explorer.exe

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://sadawehot.net/e**********g.php
   • http://sadawehot.net/e**********in.php

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.

 L'injection du code viral dans d'autres processus – Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • %WINDIR%\Explorer.EXE
   • %SYSDIR%\cmd.exe


 Informations divers Mutex:
Il crée le Mutex suivant:
   • %le CLSID généré%

Description insérée par Tudor Ciochina le mardi 25 septembre 2012
Description mise à jour par Tudor Ciochina le mardi 25 septembre 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.