Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Spy.ZBot.acr
Data em que surgiu:03/08/2012
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:181.760 Bytes
Versão VDF:7.11.38.196 - sexta-feira, 3 de agosto de 2012
Versão IVDF:7.11.38.196 - sexta-feira, 3 de agosto de 2012

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.exmv
   •  Eset: Win32/Spy.Zbot.YW
   •  DrWeb: Trojan.PWS.Panda.547


Sistemas Operativos:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros  Copia a si mesmo para o seguinte local. Esse arquivo possui bytes aleatórios anexados ou alterados, portanto pode ser diferente do original:
   • %APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe



Cria as seguintes pastas:
   • %APPDATA%\%uma série de caracteres aleatórios%
   • %APPDATA%\%uma série de caracteres aleatórios%



São criados os seguintes ficheiros:

– %APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.%uma série de caracteres aleatórios% Além disso executa-se depois de gerado.
%TEMPDIR%\TMP%número% .bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{%CLSID gerado%}"="c:\Documents and Settings\Use\Application Data\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\explorer.exe = %WINDIR%\explorer.exe

 Backdoor Contacta o servidor:
Seguintes:
   • http://sadawehot.net/e**********g.php
   • http://sadawehot.net/e**********in.php

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP POST através de scripts PHP.

 Introdução de código viral noutros processos – É injetado automaticamente como um thread remoto nos processos.

    Todos os processos que se seguem:
   • %WINDIR%\Explorer.EXE
   • %SYSDIR%\cmd.exe


 Informações diversas Mutex:
Cria o seguinte Mutex:
   • %CLSID gerado%

Descrição enviada por Tudor Ciochina em terça-feira, 25 de setembro de 2012
Descrição atualizada por Tudor Ciochina em terça-feira, 25 de setembro de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.