ZEROACCESS | Baixo Risk | Trend Micro Threat Encyclopedia

Ataques da Web correspondentes

The Anatomy of RTKT_ZACCESS

Arquivo correspondente

RTKT_ZACESS.SMAE

Outros Recursos

Step-by-Step Reverse Engineering Malware: ZeroAccess/Max /Smiscer Crimeware Rootkit

Links Rápidos

Glossário de termos

Ajuda

Conte-nos como saímos. Participe da nossa pesquisa rápida.

Enciclopédia de ameaças

Salve & compartilhe
Exportar para PDF
Escolha o seu país:

ZEROACCESS

Apelido: Sirefef, Zeroaccess, Kazy, Conjar, ZAccess, Zacess
Tipo de grayware: Others
Destrutivo: Não
Plataforma: Windows 2000, Windows XP, Windows Server 2003
In the wild: Sim

Classificao do risco total:

Baixo

Potencial de dano:

Alto

Potencial de distribuição:

Baixo

Reported Infection:

Baixo

Detalhes técnicos

Instalao

Ele deixa os seguintes arquivos:

%Application Data%\8c0f0459\@
%Application Data%\8c0f0459\X
%Windows%\1493438348

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.. %Windows% é a pasta do Windows, que geralmente é C:\Windows ou C:\WINNT).

)

Ele cria as seguintes pastas:

%Application Data%\8c0f0459
%Application Data%\8c0f0459\U

Tcnica de inicializao automtica

Ele se registra como um serviço de sistema para garantir sua execução automática a cada inicialização do sistema, adicionando as seguintes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\8c0f0459
ImagePath = "\systemroot\1493438348:1945172902.exe"

Ele adiciona as seguintes entradas de registro para habilitar sua execução automática a cada inicialização do sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\8c0f0459\X"

Outras modificaes no sistema

Adiciona estas chaves de registro:

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}

HKEY_CLASSES_ROOT\Software\8c0f0459

Ele adiciona as seguintes entradas de registro como parte de sua rotina de instalação:

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
u = "dword:00000075"

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
cid = "{hex values}"

HKEY_CURRENT_USER\Software\8c0f0459
u = "dword:00000075"

HKEY_CURRENT_USER\Software\8c0f0459
id = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

Analisado por: Dianne Lagrimas