Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Zbot.836
Data em que surgiu:22/09/2010
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:43.008 Bytes
MD5 checksum:202a068e9e52853d7ed7887ec7dfbe52
Verso VDF:7.10.05.78
Verso IVDF:7.10.11.254 - quarta-feira, 22 de setembro de 2010

 Vulgarmente Meios de transmisso:
    Recurso de execuo automtica
    Arquivos infectados


Alias:
   •  Mcafee: W32/Ramnit
   •  Kaspersky: Backdoor.Win32.IRCNite.aqg
   •  Sophos: Mal/FakeAV-BW
   •  Bitdefender: Trojan.Zbot.836
     GData: Trojan.Zbot.836


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
Arquivos infectados
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe
   • %unidade%\RECYCLER\autorun.exe



So criados os seguintes ficheiros:

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

%PROGRAM FILES%\Internet Explorer\dmlconf.dat



Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe


Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

 Registry (Registo do Windows) O seguinte valor do registo alterado:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\desktoplayer.exe"

 Infeco de ficheiros Tipo de infector:

Appender - O cdigo principal do vrus adicionado ao final do arquivo infectado.
A seo a seguir foi adicionada ao arquivo infectado:
   • .rmnet


Furto:
Nenhuma tcnica de furto usada. Ele modifica o OEP (Original Entry Point, Ponto de entrada original) do arquivo infectado para apontar para o cdigo do vrus.


Forma:

Este atacante pesquisa ficheiros activamente.


Os arquivos a seguir esto infectados:

Por tipo de arquivo:
   • exe (+44544) -> W32/Ramnit.A
   • dll (+44544) -> W32/Ramnit.A
   • html (+86498) -> HTML/Drop.Agent.AB

 Backdoor Contacta o servidor:
Seguinte:
   • jef**********.com:442 (TCP)


 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • iexplore.exe


 Informaes diversas  Procura uma ligao de internet contactando um dos seguintes web sites:
   • google.com:80
   • bing.com:80
   • yahoo.com:80


Mutex:
Cria o seguinte Mutex:
   • KyUffThOkYwRRtgPP

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 8 de abril de 2011
Descrição atualizada por Petre Galan em sexta-feira, 8 de abril de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.