Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Spy.ZBot.pcp
Data em que surgiu:15/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:118272 Bytes
MD5 checksum:8603e529ee23ac7e1213d5b5e14c66d7
Versão VDF:7.10.04.13
Versão IVDF:7.10.09.92 - quinta-feira, 15 de julho de 2010

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan.Win32.Scar.cndh
   •  TrendMicro: TROJ_MEREDROP.SY
   •  F-Secure: Trojan.Win32.Scar.cndh
   •  Eset: Win32/Spy.Zbot.YW


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro
   • Descarrega ficheiros
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\sdra64.exe



Cria a seguinte pasta:
   • %SYSDIR%\lowsec



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %SYSDIR%\lowsec\user.ds
   • %SYSDIR%\lowsec\local.ds
   • %SYSDIR%\lowsec\user.ds.lll




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://113.11.194.175/us/**********

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,,%SYSDIR%\sdra64.exe,"



São adicionadas as seguintes chaves ao registo:

– [HKCU\software\microsoft\windows\currentversion\explorer\
   {35106240-D2F0-DB35-716E-127EB80A0299}\
   {33373039-3132-3864-6B30-303233343434}]
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%nome do computador%_B4DF76112BF9218C"

– [HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • "UID"="%nome do computador%_B4DF76112BF9218C"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "ParseAutoexec"="1"



Altera as seguintes chaves de registo do Windows:

Desactiva a Firewall do Windows

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valor recente:
   • "EnableFirewall"=dword:00000000

Desactiva a Firewall do Windows

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valor recente:
   • "EnableFirewall"=dword:00000000

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • svchost.exe



– Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • services.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Ana Maria Niculescu em quinta-feira, 16 de setembro de 2010
Descrição atualizada por Ana Maria Niculescu em quinta-feira, 16 de setembro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.