需要修复电脑?
聘请专家
Nom:TR/PSW.Zbot.258048.270
La date de la dcouverte:14/01/2013
Type:Cheval de Troie
Sous type:PSW
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:255344 Octets
Somme de contrle MD5:fa3bc1fd5c27206c47492c6ca5fcfaf4
Version VDF:7.11.57.60 - lundi 14 janvier 2013
Version IVDF:7.11.57.60 - lundi 14 janvier 2013

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
     DrWeb: Trojan.PWS.Panda.2401


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il cre un fichier malveillant
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %Appdata%\%chane de caractres alatoire de six digits%\%chane de caractres alatoire de cinq digits%.exe



Il supprime sa propre copie, excute initialement



Les fichiers suivants sont crs:

%Appdata%\%chane de caractres alatoire de cinq digits%\%chane de caractres alatoire de cinq digits%.%chane de caractres alatoire de trois digits%
%TEMPDIR%\tmp%chane de caractres alatoire de huit digits%.bat Ensuite, il est excut aprs avoir t completment cre.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%chane de caractres alatoire de six digits% \\%5 random character string%.exe\"



La cl de registre suivante est ajoute:

[HKCU\Software\Microsoft\Avgu]


Les cls de registre suivantes sont changes:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   L'ancienne valeur:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   L'ancienne valeur:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   L'ancienne valeur:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 L'injection du code viral dans d'autres processus     Nom du processus:
   • Explorer.exe


 Informations divers Il pretend un fichier de confiance:
Sa procs pretend le fichier de confiance suivant: NTSD.Exe
Attention: Le virus imite mme l'icone. Cel donne l'impression que le Malware soit le procs mentionn ci-dessus.

说明添加者: Wensin Lee 打开 2013年1月16日星期三
说明更新者: Wensin Lee 打开 2013年1月16日星期三

反馈 . . . .
https:// 为了你的安全,此窗口已加密。