Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/PSW.Zbot.258048.270
发现日期:13/12/2012
类型:特洛伊木马
子类型:PSW
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度
静态文件:
文件大小:255344 字节
MD5 校检和:fa3bc1fd5c27206c47492c6ca5fcfaf4
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
   •  DrWeb: Trojan.PWS.Panda.2401


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 植入恶意文件
   • 降低系统安全设置
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %Appdata%\%六位数的随机字符串%\%五位数的随机字符串%.exe



它会删除其本身最初执行的副本。



创建以下文件:

– %Appdata%\%五位数的随机字符串%\%五位数的随机字符串%.%三位数的随机字符串%
– %TEMPDIR%\tmp%八位数的随机字符串%.bat 成功创建后,它会被执行。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%六位数的随机字符串% \\%5 random character string%.exe\"



会添加以下注册表项目注册值:

– [HKCU\Software\Microsoft\Avgu]


会更改以下注册表项:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   旧值:
   • "1609"=dword:00000001
   新值:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   旧值:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   新值:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   旧值:
   • "1609"=dword:00000001
   新值:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   旧值:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   新值:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   旧值:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   新值:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 注入进程     进程名:
   • Explorer.exe


 其他 伪装受信任的文件 :
其进程会伪装成以下受信任的进程: NTSD.Exe
注意,此恶意软件会伪装图标。 这使得它看起来就是上述进程。

Beschrijving ingevoegd door Wensin Lee op woensdag 16 januari 2013
Beschrijving bijgewerkt door Wensin Lee op woensdag 16 januari 2013

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.