Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Spy.ZBot.xaxn
Scoperto:30/09/2013
Tipo:Trojan
Sottotipo:Spy
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
Dimensione del file:91861 Byte
Somma di controllo MD5:4c89ed49b3a334bdfea59d0c4c6a514e
Versione VDF:7.11.105.54 - lunedì 30 settembre 2013
Versione IVDF:7.11.105.54 - lunedì 30 settembre 2013

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Fareit.albl
   •  Sophos: Mal/Generic-S
   •  Bitdefender: Trojan.GenericKDV.1306124
   •  Microsoft: Trojan:Win32/Matsnu.L
   •  AVG: Generic35.AMA
   •  Eset: Win32/Trustezeb.E.trojan
   •  GData: Trojan.GenericKDV.1306124
   •  DrWeb: Trojan.Inject.27909


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\Application Data\%stringa casuale di quattro caratteri%\%stringa di caratteri casuale%.exe

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %temp%\%stringa di caratteri casuale%.pre

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%HOME%\Application Data\%stringa di caratteri casuale%\%stringa di caratteri casuale%.exe"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%HOME%\%stringa di caratteri casuale%.pre"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {378de44c-56ef-11d1-bc8c-00a0c91405dd}\
   #?#HID#Vid_0e0f&Pid_0003&MI_00#7&1b1a3d13&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}\
   #\Control]
   • "Linked"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {378de44c-56ef-11d1-bc8c-00a0c91405dd}\
   #?#HID#Vid_0e0f&Pid_0003&MI_00#7&1b1a3d13&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}\
   Control]
   • "ReferenceCount"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {378de44c-56ef-11d1-bc8c-00a0c91405dd}\
   #?#HID#Vid_0e0f&Pid_0003&MI_01#7&356b0ce&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}\
   #\Control]
   • "Linked"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {378de44c-56ef-11d1-bc8c-00a0c91405dd}\
   #?#HID#Vid_0e0f&Pid_0003&MI_01#7&356b0ce&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}\
   Control]
   • "ReferenceCount"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {4d1e55b2-f16f-11cf-88cb-001111000030}\
   #?#HID#Vid_0e0f&Pid_0003&MI_00#7&1b1a3d13&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}\
   #\Control]
   • "Linked"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {4d1e55b2-f16f-11cf-88cb-001111000030}\
   #?#HID#Vid_0e0f&Pid_0003&MI_00#7&1b1a3d13&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}\
   Control]
   • "ReferenceCount"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {4d1e55b2-f16f-11cf-88cb-001111000030}\
   #?#HID#Vid_0e0f&Pid_0003&MI_01#7&356b0ce&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}\
   #\Control]
   • "Linked"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {4d1e55b2-f16f-11cf-88cb-001111000030}\
   #?#HID#Vid_0e0f&Pid_0003&MI_01#7&356b0ce&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}\
   Control]
   • "ReferenceCount"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {a5dcbf10-6530-11d2-901f-00c04fb951ed}\
   #?#USB#Vid_0e0f&Pid_0003#5&1f8fd7d0&0&1#{a5dcbf10-6530-11d2-901f-00c04fb951ed}\
   #\Control]
   • "Linked"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {a5dcbf10-6530-11d2-901f-00c04fb951ed}\
   #?#USB#Vid_0e0f&Pid_0003#5&1f8fd7d0&0&1#{a5dcbf10-6530-11d2-901f-00c04fb951ed}\
   Control]
   • "ReferenceCount"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {f18a0e88-c30c-11d0-8815-00a0c906bed8}\
   #?#USB#Vid_0e0f&Pid_0002#5&1f8fd7d0&0&2#{f18a0e88-c30c-11d0-8815-00a0c906bed8}\
   #\Control]
   • "Linked"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\
   {f18a0e88-c30c-11d0-8815-00a0c906bed8}\
   #?#USB#Vid_0e0f&Pid_0002#5&1f8fd7d0&0&2#{f18a0e88-c30c-11d0-8815-00a0c906bed8}\
   Control]
   • "ReferenceCount"="dword:0x00000000"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\ControlSet001\Services\HidUsb\Enum]
   Valore precedente:
   • "Count"=dword:00000002
   • "NextInstance"=dword:00000002
   Nuovo valore:
   • "Count"="dword:0x00000000"
   • "NextInstance"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\Mouclass\Enum]
   Valore precedente:
   • "Count"=dword:00000004
   • "NextInstance"=dword:00000004
   Nuovo valore:
   • "Count"="dword:0x00000002"
   • "NextInstance"="dword:0x00000002"

– [HKLM\SYSTEM\ControlSet001\Services\mouhid\Enum]
   Valore precedente:
   • "Count"=dword:00000002
   • "NextInstance"=dword:00000002
   Nuovo valore:
   • "Count"="dword:0x00000000"
   • "NextInstance"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   Valore precedente:
   • "Error Count"=dword:00000012
   Nuovo valore:
   • "Error Count"="dword:0x0000026d"

– [HKLM\SYSTEM\ControlSet001\Services\usbccgp\Enum]
   Valore precedente:
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001
   Nuovo valore:
   • "Count"="dword:0x00000000"
   • "NextInstance"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\usbhub\Enum]
   Valore precedente:
   • "Count"=dword:00000002
   • "NextInstance"=dword:00000002
   Nuovo valore:
   • "Count"="dword:0x00000001"
   • "NextInstance"="dword:0x00000001"

 Come il virus si inserisce nei processi     Uno dei seguenti processi:
   • svchost.exe
   • winlogon.exe


 Varie Collegamento a internet:
Per verificare la propria connessione internet, viene contattato il seguente server DNS:
   • micnet**********100.com

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Wensin Lee su martedì 1 ottobre 2013
Descrizione aggiornata da Wensin Lee su martedì 1 ottobre 2013

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.