Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Spy.ZBot.alj
La date de la découverte:28/08/2009
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Taille du fichier:114688 Octets
Somme de contrôle MD5:237f86451bbfb4341d130a5de71ca9e3
Version VDF:7.01.05.178
Version IVDF:7.01.05.179 - vendredi 28 août 2009

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %temp%\%chaîne de caractères aléatoire de 10 digits% .pre



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

– %temp%\%chaîne de caractères aléatoire%\random character string%.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="%HOME%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%chaîne de caractères aléatoire de 10 digits% .pre"

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%chaîne de caractères aléatoire de 10 digits% .pre"

 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • zeo**********-gt.com
   • fen**********.com

Description insérée par Wensin Lee le mercredi 13 mars 2013
Description mise à jour par Wensin Lee le mercredi 13 mars 2013

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.