Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Zbot.836
Scoperto:22/09/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:43.008 Byte
Somma di controllo MD5:202a068e9e52853d7ed7887ec7dfbe52
Versione VDF:7.10.05.78
Versione IVDF:7.10.11.254 - mercoledì 22 settembre 2010

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
    Infetta file


Alias:
   •  Mcafee: W32/Ramnit
   •  Kaspersky: Backdoor.Win32.IRCNite.aqg
   •  Sophos: Mal/FakeAV-BW
   •  Bitdefender: Trojan.Zbot.836
     GData: Trojan.Zbot.836


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
Infetta file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe
   • %unit disco%\RECYCLER\autorun.exe



Vengono creati i seguenti file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%PROGRAM FILES%\Internet Explorer\dmlconf.dat



Prova ad eseguire i seguenti file:

Nome del file:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe


Nome del file:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

 Registro Viene cambiata la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\desktoplayer.exe"

 File virale Tipo di infettore:

Appender: il codice principale del virus viene aggiunto alla fine del file infetto.
La seguente sezione stata aggiunta al file infetto:
   • .rmnet


Stealth:
Non viene utilizzata alcuna tecnica di nascosto. Modifica l'OEP (Original Entry Point) del file infetto per dirigersi al codice del virus.


Metodo:

Questo virus ad azione diretta ricerca attivamente dei file.


I seguenti file sono infetti:

Per tipo di file:
   • exe (+44544) -> W32/Ramnit.A
   • dll (+44544) -> W32/Ramnit.A
   • html (+86498) -> HTML/Drop.Agent.AB

 Backdoor Contatta il server:
Il seguente:
   • jef**********.com:442 (TCP)


 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • iexplore.exe


 Varie  Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • google.com:80
   • bing.com:80
   • yahoo.com:80


Mutex:
Crea il seguente Mutex:
   • KyUffThOkYwRRtgPP

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 8 aprile 2011
Descrizione aggiornata da Petre Galan su venerdì 8 aprile 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.