Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.ZBot.alj
Scoperto:28/08/2009
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
Dimensione del file:114688 Byte
Somma di controllo MD5:237f86451bbfb4341d130a5de71ca9e3
Versione VDF:7.01.05.178
Versione IVDF:7.01.05.179 - venerdì 28 agosto 2009

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %temp%\%stringa di 10 caratteri casuali%.pre



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

– %temp%\%stringa di caratteri casuale%\random character string%.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%HOME%\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%stringa di 10 caratteri casuali%.pre"

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%stringa di 10 caratteri casuali%.pre"

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • zeo**********-gt.com
   • fen**********.com

Descrizione inserita da Wensin Lee su mercoledì 13 marzo 2013
Descrizione aggiornata da Wensin Lee su mercoledì 13 marzo 2013

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.