Skip to content

Export page to PDF
ZEROACCESS
Apelido: Sirefef, Zeroaccess, Kazy, Conjar, ZAccess, Zacess
Tipo de grayware: Others
Destrutivo: Não
Plataforma: Windows 2000, Windows XP, Windows Server 2003
In the wild: Sim

Detalhes técnicos

Instalao

Ele deixa os seguintes arquivos:

  • %Application Data%\8c0f0459\@
  • %Application Data%\8c0f0459\X
  • %Windows%\1493438348

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.. %Windows% é a pasta do Windows, que geralmente é C:\Windows ou C:\WINNT).

)

Ele cria as seguintes pastas:

  • %Application Data%\8c0f0459
  • %Application Data%\8c0f0459\U

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.)

Tcnica de inicializao automtica

Ele se registra como um serviço de sistema para garantir sua execução automática a cada inicialização do sistema, adicionando as seguintes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\8c0f0459
ImagePath = "\systemroot\1493438348:1945172902.exe"

Ele adiciona as seguintes entradas de registro para habilitar sua execução automática a cada inicialização do sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\8c0f0459\X"

Outras modificaes no sistema

Adiciona estas chaves de registro:

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}

HKEY_CLASSES_ROOT\Software\8c0f0459

Ele adiciona as seguintes entradas de registro como parte de sua rotina de instalação:

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
u = "dword:00000075"

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
cid = "{hex values}"

HKEY_CURRENT_USER\Software\8c0f0459
u = "dword:00000075"

HKEY_CURRENT_USER\Software\8c0f0459
id = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

Analisado por: Dianne Lagrimas

Siga a Trend Micro