Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nome del virus:TR/PSW.Zbot.258048.270
Scoperto:14/01/2013
Tipo:Trojan
Sottotipo:PSW
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:255344 Byte
Somma di controllo MD5:fa3bc1fd5c27206c47492c6ca5fcfaf4
Versione VDF:7.11.57.60 - lunedì 14 gennaio 2013
Versione IVDF:7.11.57.60 - lunedì 14 gennaio 2013

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
   •  DrWeb: Trojan.PWS.Panda.2401


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %Appdata%\%stringa casuale di sei caratteri%\%stringa casuale di cinque caratteri%.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– %Appdata%\%stringa casuale di cinque caratteri%\%stringa casuale di cinque caratteri%.%stringa casuale di tre caratteri%
%TEMPDIR%\tmp%stringa casuale di otto caratteri%.bat Viene eseguito ulteriormente dopo che è stato completamente creato.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%stringa casuale di sei caratteri% \\%5 random character string%.exe\"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Avgu]


Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valore precedente:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valore precedente:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Nuovo valore:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valore precedente:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Nuovo valore:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Come il virus si inserisce nei processi     Nome del processo:
   • Explorer.exe


 Varie File falsificati:
Finge di essere il seguente processo: NTSD.Exe
Da notare che il malware falsifica persino l'icona. Appare dunque come il processo sopracitato.

Description insérée par Wensin Lee le mercredi 16 janvier 2013
Description mise à jour par Wensin Lee le mercredi 16 janvier 2013

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.