Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Spy.ZBot.HT.4
Data em que surgiu:13/09/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:102.400 Bytes
MD5 checksum:2ad828135b8619dab054d841a29fd80e
Versão VDF:7.10.05.35
Versão IVDF:7.10.11.157 - segunda-feira, 13 de setembro de 2010

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • Messenger


Alias:
   •  Sophos: Mal/VB-PD
   •  Bitdefender: Trojan.Generic.KD.35757
   •  Panda: W32/Autorun.KBS
   •  Eset: Win32/AutoRun.Agent.WF


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %TEMPDIR%\tL02mT02.exe
   • %unidade%\autorun.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows"="%TEMPDIR%\tL02mT02.exe"



É adicionada a seguinte chave de registo:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {36A5A0DB-297E-FDE2-0501-060104070800}]
   • "StubPath"="%TEMPDIR%\tL02mT02.exe"

 E-mail Contém um motor de SMTP integrado para enviar e-mails de Spam. É estabelecida uma ligação directa com o servidor de destino. As características são as seguintes:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Corpo:
– Contém código HTML.

 Mailing MX Server:
Tem capacidade para contactar o servidor MX:
   • smtp.live.com

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Windows Live Messenger

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 Backdoor Contacta o servidor:
Seguintes:
   • http://freeappz.biz/**********?id=%caracteres%&co=%caracteres%&us=%caracteres%&os=%caracteres%&vr=%caracteres%&av&dt
   • http://111.90.151.28/**********?id=%caracteres%&co=%caracteres%&us=%caracteres%&os=%caracteres%&vr=%caracteres%&av&dt



Envia informação sobre:
    • Nome do computador
    • Utilizador Actual
    • Informação sobre o sistema operativo Windows

 Roubos de informação Tenta roubar a seguinte informação:

– A palavra-chave do seguinte programa:
   • Mozilla Firefox

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Informações diversas Recursos de acesso à Internet:
   • http://upd**********.com/
   • http://upd**********.com/


Mutex:
Cria o seguinte Mutex:
   • X00X

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 21 de fevereiro de 2011
Descrição atualizada por Petre Galan em segunda-feira, 21 de fevereiro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.