需要修復電腦?
聘請專家
VírusTR/PSW.Zbot.258048.270
Data em que surgiu:14/01/2013
Tipo:Trojan
Subtipo:PSW
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:255344 Bytes
MD5 checksum:fa3bc1fd5c27206c47492c6ca5fcfaf4
Versão VDF:7.11.57.60 - segunda-feira, 14 de janeiro de 2013
Versão IVDF:7.11.57.60 - segunda-feira, 14 de janeiro de 2013

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
   •  DrWeb: Trojan.PWS.Panda.2401


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %Appdata%\%seis caracteres aleatórios%\%cinco caracteres aleatórios%.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– %Appdata%\%cinco caracteres aleatórios%\%cinco caracteres aleatórios%.%três caracteres aleatórios%
%TEMPDIR%\tmp%oito caracteres aleatórios%.bat Além disso executa-se depois de gerado.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%seis caracteres aleatórios% \\%5 random character string%.exe\"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Avgu]


Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor anterior:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor anterior:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Valor recente:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor anterior:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Valor recente:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Introdução de código viral noutros processos     Nome do processo:
   • Explorer.exe


 Informações diversas Dissimula ser um ficheiro de confiança:
O seu processo dissimula ser os seguintes processos de confiança: NTSD.Exe
O malware dissimula também o ícone. Como resultado, parece ser o processo mencionado anteriormente.

說明撰寫者 Wensin Lee 開啟 2013年1月16日星期三
說明更新者 Wensin Lee 開啟 2013年1月16日星期三

返回 . . . .
https:// 為了你的安全,此視窗已加密。