Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Spy.ZBot.acr
Data em que surgiu:03/08/2012
Tipo:Trojan
Includo na lista "In The Wild"No
Nvel de danos:De baixo a mdio
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:No
Tamanho:181.760 Bytes
Verso VDF:7.11.38.196 - sexta-feira, 3 de agosto de 2012
Verso IVDF:7.11.38.196 - sexta-feira, 3 de agosto de 2012

 Vulgarmente Meio de transmisso:
   • No tem rotinas de propagao


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.exmv
   •  Eset: Win32/Spy.Zbot.YW
     DrWeb: Trojan.PWS.Panda.547


Sistemas Operativos:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efeitos secundrios:
   • Possibilita acesso no autorizado ao computador
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros  Copia a si mesmo para o seguinte local. Esse arquivo possui bytes aleatrios anexados ou alterados, portanto pode ser diferente do original:
   • %APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe



Cria as seguintes pastas:
   • %APPDATA%\%uma srie de caracteres aleatrios%
   • %APPDATA%\%uma srie de caracteres aleatrios%



So criados os seguintes ficheiros:

%APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.%uma srie de caracteres aleatrios% Alm disso executa-se depois de gerado.
%TEMPDIR%\TMP%nmero% .bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{%CLSID gerado%}"="c:\Documents and Settings\Use\Application Data\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe"



Cria a seguinte entrada de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\explorer.exe = %WINDIR%\explorer.exe

 Backdoor Contacta o servidor:
Seguintes:
   • http://sadawehot.net/e**********g.php
   • http://sadawehot.net/e**********in.php

Como resultado pode enviar informao poderiam e dar capacidade de controlo remoto. Isto feito usando o mtodo HTTP POST atravs de scripts PHP.

 Introduo de cdigo viral noutros processos  injetado automaticamente como um thread remoto nos processos.

    Todos os processos que se seguem:
   • %WINDIR%\Explorer.EXE
   • %SYSDIR%\cmd.exe


 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • %CLSID gerado%

Descrição enviada por Tudor Ciochina em terça-feira, 25 de setembro de 2012
Descrição atualizada por Tudor Ciochina em terça-feira, 25 de setembro de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.