Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
VrusTR/PSW.Zbot.258048.270
Data em que surgiu:14/01/2013
Tipo:Trojan
Subtipo:PSW
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:Baixo
Ficheiro esttico:Sim
Tamanho:255344 Bytes
MD5 checksum:fa3bc1fd5c27206c47492c6ca5fcfaf4
Verso VDF:7.11.57.60 - segunda-feira, 14 de janeiro de 2013
Verso IVDF:7.11.57.60 - segunda-feira, 14 de janeiro de 2013

 Vulgarmente Meio de transmisso:
   • No tem rotinas de propagao


Alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
     DrWeb: Trojan.PWS.Panda.2401


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %Appdata%\%seis caracteres aleatrios%\%cinco caracteres aleatrios%.exe



Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

%Appdata%\%cinco caracteres aleatrios%\%cinco caracteres aleatrios%.%trs caracteres aleatrios%
%TEMPDIR%\tmp%oito caracteres aleatrios%.bat Alm disso executa-se depois de gerado.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%seis caracteres aleatrios% \\%5 random character string%.exe\"



adicionada a seguinte chave de registo:

[HKCU\Software\Microsoft\Avgu]


Altera as seguintes chaves de registo do Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor anterior:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor anterior:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Valor recente:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor anterior:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Valor recente:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Introduo de cdigo viral noutros processos     Nome do processo:
   • Explorer.exe


 Informaes diversas Dissimula ser um ficheiro de confiana:
O seu processo dissimula ser os seguintes processos de confiana: NTSD.Exe
O malware dissimula tambm o cone. Como resultado, parece ser o processo mencionado anteriormente.

Descrizione inserita da Wensin Lee su mercoledì 16 gennaio 2013
Descrizione aggiornata da Wensin Lee su mercoledì 16 gennaio 2013

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.