Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.ZBot.alj
Scoperto:28/08/2009
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
Dimensione del file:114688 Byte
Somma di controllo MD5:237f86451bbfb4341d130a5de71ca9e3
Versione VDF:7.01.05.178
Versione IVDF:7.01.05.179 - venerdì 28 agosto 2009

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %temp%\%stringa di 10 caratteri casuali%.pre



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%temp%\%stringa di caratteri casuale%\random character string%.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%HOME%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%stringa di 10 caratteri casuali%.pre"

[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%stringa di 10 caratteri casuali%.pre"

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • zeo**********-gt.com
   • fen**********.com

Descrizione inserita da Wensin Lee su mercoledì 13 marzo 2013
Descrizione aggiornata da Wensin Lee su mercoledì 13 marzo 2013

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.