需要修复电脑?
聘请专家
Nom:TR/PSW.Zbot.258048.270
La date de la découverte:14/01/2013
Type:Cheval de Troie
Sous type:PSW
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:255344 Octets
Somme de contrôle MD5:fa3bc1fd5c27206c47492c6ca5fcfaf4
Version VDF:7.11.57.60 - lundi 14 janvier 2013
Version IVDF:7.11.57.60 - lundi 14 janvier 2013

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
   •  DrWeb: Trojan.PWS.Panda.2401


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %Appdata%\%chaîne de caractères aléatoire de six digits%\%chaîne de caractères aléatoire de cinq digits%.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– %Appdata%\%chaîne de caractères aléatoire de cinq digits%\%chaîne de caractères aléatoire de cinq digits%.%chaîne de caractères aléatoire de trois digits%
%TEMPDIR%\tmp%chaîne de caractères aléatoire de huit digits%.bat Ensuite, il est exécuté après avoir été completment crée.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%chaîne de caractères aléatoire de six digits% \\%5 random character string%.exe\"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Avgu]


Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   L'ancienne valeur:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   L'ancienne valeur:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   L'ancienne valeur:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 L'injection du code viral dans d'autres processus     Nom du processus:
   • Explorer.exe


 Informations divers Il pretend un fichier de confiance:
Sa procès pretend le fichier de confiance suivant: NTSD.Exe
Attention: Le virus imite même l'icone. Celà donne l'impression que le Malware soit le procès mentionné ci-dessus.

说明添加者: Wensin Lee 打开 2013年1月16日星期三
说明更新者: Wensin Lee 打开 2013年1月16日星期三

反馈 . . . .
https:// 为了你的安全,此窗口已加密。