Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Spy.ZBot.alj
La date de la dcouverte:28/08/2009
Type:Cheval de Troie
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Taille du fichier:114688 Octets
Somme de contrle MD5:237f86451bbfb4341d130a5de71ca9e3
Version VDF:7.01.05.178
Version IVDF:7.01.05.179 - vendredi 28 août 2009

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %temp%\%chane de caractres alatoire de 10 digits% .pre



Il supprime sa propre copie, excute initialement



Le fichier suivant est cr:

%temp%\%chane de caractres alatoire%\random character string%.exe Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire%"="%HOME%\%chane de caractres alatoire%\%chane de caractres alatoire%.exe"



Les cls de registre suivantes sont ajoutes afin de charger les services aprs le redmarrage:

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%chane de caractres alatoire de 10 digits% .pre"

[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%chane de caractres alatoire de 10 digits% .pre"

 Informations divers Connexion Internet:
Afin de vrifier sa connexion Internet, les serveurs DNS suivants sont contacts
   • zeo**********-gt.com
   • fen**********.com

Description insérée par Wensin Lee le mercredi 13 mars 2013
Description mise à jour par Wensin Lee le mercredi 13 mars 2013

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.